Спецпроекты

Безопасность Администратору Пользователю Маркет

«Лаборатория Касперского» обнаружила таинственную платформу для кибершпионажа

«Лаборатория Касперского» обнаружила крайне сложную и продуманную в техническом плане платформу для кибершпионажа, ее создателей пока не удалось идентифицировать. Вредоносный инструмент, получивший название TajMahal (по имени одного из используемых им файлов), содержит более 80 различных модулей, которые обладают крайне широкими функциями, в том числе такими, какие не встречались ранее в инструментарии для кибершпионажа. К настоящему времени «Лаборатории Касперского» удалось обнаружить лишь одну жертву TajMahal – посольство среднеазиатской страны, однако исследователи уверены, что целями злоумышленников, скорее всего, стало гораздо больше организаций.

В состав TajMahal входят два основных модуля, которые называются Tokyo и Yokohama. Tokyo – меньший из них по размеру и функциональности, но именно с него начинается атака. Он содержит один бэкдор (программу для удаленного контроля) и модуль для коммуникации с сервером злоумышленников. Tokyo частично написан на PowerShell и остается в зараженной системе даже после того, как операция кибершпионажа вошла в основную стадию.

За эту основную стадию отвечает пакет Yokohama – настоящий «швейцарский нож» кибершпиона. Yokohama поддерживает собственную виртуальную файловую систему (VFS) со всеми плагинами, вспомогательные библиотеки и конфигурационные файлы. В общей сложности пакет насчитывает около 80 модулей, и среди их возможностей перехват нажатий клавиш, осуществление аудиозаписей и снимков экрана, перехват трансляции веб-камеры, кража документов и ключей шифрования.

Благодаря такому многообразию инструментов TajMahal способен получать доступ к cookie-файлам браузеров и спискам резервного копирования для мобильных устройств Apple, красть данные, которые пользователь собирается записать на компакт-диск, а также документы из очереди на печать. Помимо этого, кибершпионская платформа может украсть определенный файл, который ранее был замечен ею на USB-флешке, – кража происходит при последующем подключении флешки к компьютеру жертвы.

Анализ вредоносного кода показал, что платформа TajMahal была создана по меньшей мере шесть лет назад: первые найденные образцы зловредов относятся к апрелю 2013 г. Последнее обновление инструмента для кибершпионажа проводилось в августе 2018 г. Способы распространения и векторы заражения TajMahal исследователям пока неизвестны.

«TajMahal – очень интересная и интригующая находка. Технические возможности этой платформы поражают, она способна делать то, чего мы никогда не видели ранее даже в самых сложных операциях кибершпионажа, – сказал Алексей Шульмин, антивирусный эксперт "Лаборатории Касперского". – Несмотря на тщательный анализ TajMahal у нас еще осталось много вопросов. Например, кто стоит за этой платформой, как им удавалось оставаться незамеченными все эти годы? Пока мы не можем связать этих злоумышленников ни с одной из известных групп атакующих. Кроме того, маловероятно, что все это техническое совершенство было создано исключительно для одной цели, которую нам удалось обнаружить. Скорее всего, жертв гораздо больше, или же эти злоумышленники используют дополнительные инструменты в других атаках, или и то и другое сразу».

Все решения «Лаборатории Касперского», по заявлению компании, успешно распознают и блокируют TajMahal.

Короткая ссылка