TajMahal to platforma cyberszpiegowska, jakiej jeszcze nie było. Czemu ma tylko jedną ofiarę?
TajMahal to zupełnie nieznana wcześniej i niespotykanie rozbudowana platforma cyberszpiegowska. Na jej wyjątkowość składa się 80 szkodliwych modułów, unikatowe możliwości i niezwykłe wyrafinowanie działania. Działał przynajmniej od 2013 roku. Jedyną znaną ofiarą jest ambasada państwa ze środkowej Azji, ale specjaliści nie wykluczają, że istnieją też inne.
Wyrafinowaną platformę cyberszpiegowską wykryli badacze z Kaspersky Lab w 2018 roku. Jej najstarsze ślady datowane są na rok 2013, najświeższe z sierpnia 2018, ale nie można wykluczyć, że działała dłużej. TajMahal nie da się powiązać z którąś ze znanych grup cyberszpiegów. Nazwa pochodzi od jednego z plików – modułu służącego do wyprowadzania skradzionych danych z zaatakowanej sieci. Na razie nie wiadomo, jak przestępcy wybierali ofiary ataku, ale trudno sobie wyobrazić, by tak zaawansowana platforma działała jedynie na potrzeby wykradania danych z jednej ambasady jednego kraju. Kaspersky Lab nie informuje, który kraj padł ofiarą TajMahal. Wiemy jedynie, że było to w 2014 roku.
Tokyo otwiera drzwi, Yokohama robi resztę
Około 80 modułów TajMahal zapewnia mu możliwości, jakich nie miały wcześniej nawet najbardziej wyrafinowane kampanie cyberprzestępcze. Platofrma umożliwia prowadzenie akcji cyberszpiegowskich na większą skalę.
Pierwszym etapem ataku jest pakiet Tokyo, zawierający dwa moduły. Jego zadaniem jest otwarcie furtki atakującym (instalacja backdoora) i okresowe łączenie się z serwerami kontroli (C&C, Command and Control). Pakiet ten jest obecny w zaatakowanej sieci także po rozpoczęciu drugiego etapu ataku.
Drugi etap to Yokohama – wirtualny system plików (VFS) ze wszystkimi wtyczkami, bibliotekami i plikami konfiguracji. Łącznie istnieje ponad 80 modułów, w tym, między innymi, moduły ładujące szkodliwe oprogramowanie, narzędzia koordynujące atak, rejestratory audio, keyloggery przechwytujące znaki wprowadzane z klawiatury, moduły przechwytujące zawartość ekranu oraz obraz z kamery, a także narzędzia kradnące dokumenty i klucze kryptograficzne. Niektóre z nich są otwartoźródłowe, ale sporo powstało wyłącznie na potrzebę tej platformy.
TajMahal potrafi również przechwytywać ciasteczka (pliki cookies) z różnych przeglądarek, pobierać listę kopii zapasowych dla iPadów i iPhone'ów, kraść dane z płyty CD nagrywanej przez ofiarę i dokumenty znajdujące się w kolejce drukarki. Ponadto może ukraść konkretny plik z widzianego wcześniej dysku USB, jeśli dostanie odpowiednią komendę z serwera kontrolującego. Taki plik zostanie przesłany do przestępców podczas najbliższego podłączenia do komputera danego dysku USB. Kaspersky Lab przeanalizował zaatakowane systemy i zawsze te zainfekowane przez Tokyo zawierały również Yokohamę. Wygląda więc na to, że Tokyo rozpoczynał atak i jeśli się udało, zawsze instalował Yokohamę. Tokyo pozostawał aktywny prawdopodobnie na wypadek potrzeby tworzenia kopii zapasowych.
Pytania bez odpowiedzi
TajMahal to niezwykle interesujące i intrygujące znalezisko. Wyróżnia się wysokim zaawansowaniem technicznym i możliwościami niespotykanymi w narzędziach ugrupowań cyberprzestępczych. Kto więc za nią stoi? Rząd któregoś z państw w Azji? Biznesmeni z drugiego końca świata?
Wydaje się mało prawdopodobne, aby tak ogromna inwestycja została podjęta z myślą o jednej ofierze, ale jeśli tak jest, czemu infekcja została wykryta tylko w jednym miejscu? Specjaliści są przekonani, że istnieje więcej ofiar, które nie zostały jeszcze wykryte lub dodatkowe wersje tego szkodnika. Albo jedno i drugie. Nieznane są również wektory dystrybucji i infekcji. Czy wynika to ze stosunkowej bierności tego zagrożenia?
Kaspersky informuje, że wszystkie produkty tej firmy są w stanie zablokować atak TajMahal. Szczegóły ataku można znaleźć na blogu firmy. Są tam między innymi domeny i adresy IP serwerów kontroli, sumy kontrolne plików i lista bibliotek zawartych w module Yokohama.