Descoperire de spionaj cibernetic la Taj Mahal, care poate fura informații din lista de așteptare a imprimantei
-
11 Aprilie 2019 14:24
O nouă infrastructură complexă de spionaj cibernetic, botezată TajMahal, a fost descoperită recent de către specialiștii Kaspersky Lab, aceasta fiind capabilă să fure informații din lista de așteptare a imprimantei, dar și fișiere de pe un dispozitiv USB cu prima ocazie când acesta este conectat la computer.
Conform unui comunicat de presă al producătorului de soluții de securitate informatică, platforma ar fi activă cel puțin din anul 2013 și nu pare să aibă vreo legătură cu niciun grup cunoscut de atacatori.
Până în prezent, Kaspersky Lab a observat că o ambasadă din Asia Centrală ar fi căzut victimă unui astfel de atac, dar este posibil ca și alte instituții să fi fost afectate.
Cercetătorii Kaspersky Lab au descoperit TajMahal la sfârșitul anului 2018. "Aceasta este o operațiune APT complexă din punct de vedere tehnic, proiectată pentru acțiuni ample de spionaj cibernetic. Analiza malware arată că platforma a fost dezvoltată și folosită timp de cel puțin cinci ani, cea mai veche mostră datând din aprilie 2013, și cea mai recentă, din august 2018. Denumirea TajMahal provine din numele fișierului utilizat pentru a extrage datele furate. Se presupune că infrastructura TajMahal include două pachete principale, auto-denumite "Tokyo" și "Yokohama", notează specialiștii.
În timp ce Tokyo este dotat cu aproximativ trei module și conține funcționalitatea backdoor principală conectându-se periodic la serverele de comandă și control, Yokohama este o infrastructură de spionaj completă, care include un sistem de fișiere virtuale (VFS) cu toate plugin-urile, resurse proprii și open source și fișiere de configurare.
Tokyo utilizează PowerShell și rămâne în rețea chiar și după ce operațiunea a trecut la etapa a doua, iar la Yokohama există aproape 80 de module în total, care conțin loaders, sisteme de comandă și control, sisteme de înregistrare audio, keyloggers, sisteme de copiat ecranul și camera web, sisteme care pot fura documente și chei de criptare.
Infrastructura TajMahal poate să fure cookie-urile de browser, să obțină lista de backup pentru dispozitive mobile Apple, să fure datele de pe un CD realizat de o victimă, precum și documente aflate pe lista de așteptare a imprimantei. De asemenea, poate solicita furtul unui anumit fișier de pe un stick USB văzut anterior, iar fișierul va fi copiat data viitoare când USB-ul este conectat la computer.
Potrivit sursei citate, sistemele vizate, descoperite de Kaspersky Lab, au fost infectate atât cu Tokyo, cât și cu Yokohama.
Până la momentul actual, vectorii de distribuție și infectare pentru TajMahal sunt necunoscuți, precizează Kaspersky Lab.
AGERPRES