Меню
Поиск

Платформа для кибершпионажа TajMahal содержит более 80 модулей

11 апрель, 2019 - 13:17

«Лаборатория Касперского» обнаружила крайне сложную и продуманную в техническом плане платформу для кибершпионажа. Вредоносный инструмент, получивший название TajMahal (по имени одного из используемых им файлов), содержит более 80 различных модулей, которые обладают широкими функциями, в том числе такими, какие не встречались ранее в инструментарии для кибершпионажа. Создателей платформы пока не удалось идентифицировать.

К настоящему времени компании удалось обнаружить лишь одну жертву TajMahal — посольство среднеазиатской страны, однако исследователи уверены, что целями злоумышленников, скорее всего, стало гораздо больше организаций.

В состав TajMahal входят два основных модуля, которые называются Tokyo и Yokohama. Первый — меньший по размеру и функциональности, но именно с него начинается атака. Он содержит один бэкдор и модуль для коммуникации с сервером злоумышленников. Tokyo частично написан на PowerShell и остается в зараженной системе даже после того, как операция кибершпионажа вошла в основную стадию.

За эту основную стадию отвечает пакет Yokohama — настоящий «швейцарский нож» кибершпиона. Yokohama поддерживает собственную виртуальную файловую систему (VFS) со всеми плагинами, вспомогательные библиотеки и конфигурационные файлы. В общей сложности пакет насчитывает около 80 модулей, и среди их возможностей — перехват нажатий клавиш, осуществление аудиозаписей и снимков экрана, перехват трансляции веб-камеры, кража документов и ключей шифрования.

Благодаря такому многообразию инструментов TajMahal способен получать доступ к cookie-файлам браузеров и спискам резервного копирования для мобильных устройств Apple, красть данные, которые пользователь собирается записать на компакт-диск, а также документы из очереди на печать. Помимо этого, кибершпионская платформа может украсть определенный файл, который ранее был замечен ею на USB-флешке, — кража происходит при последующем подключении флешки к компьютеру жертвы.

Анализ вредоносного кода показал, что платформа TajMahal была создана по меньшей мере 6 лет назад: первые найденные образцы зловредов относятся к апрелю 2013 г. Последнее обновление инструмента для кибершпионажа проводилось в августе 2018 г. Способы распространения и векторы заражения TajMahal исследователям пока неизвестны.