A Kaspersky Lab anuncia a descoberta de uma infraestrutura sofisticada de ciberespionagem que tem estado ativa desde 2013 e que parece estar desconectada de hackers conhecidos. A infraestrutura tem o nome de "TajMahal", inclui 80 módulos maliciosos e funcionalidades nunca antes vistas em ameaças persistente avançadas, tais como roubo de informação em impressoras e de dispositivos USB.
Até agora, a Kaspersky Lab identificou uma embaixada situada na Ásia Central como a única vítima, mas é muito provável que outras entidades tenham sido afetadas.
Os especialistas da Kaspersky Lab descobriram o "TajMahal" no final de 2018. Esta é uma infraestrutura de APT tecnicamente sofisticada, desenhada para uma vasta ação de ciberespionagem.
A análise de malware mostra que a plataforma foi desenvolvida e utilizada, pelo menos, nos últimos cinco anos, sendo que a data da amostra mais antiga é de abril de 2013 e a mais recente de agosto de 2018.
O nome "TajMahal" vem do nome do arquivo utilizado para extrair a informação roubada. Estima-se que a infraestrutura "TajMahal" inclua dois pacotes principais chamados "Tokyo" e "Yokohama".
"Tokyo" é o menor pacote e tem cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controle. "Tokyo" aproveita o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois.
O nível dois diz respeito ao pacote "Yokohama": uma infraestrutura cheia de ferramentas de espionagem. Este inclui um Sistema Virtual de Arquivos (VFS) com plugins, open source, bibliotecas de terceiros e arquivos de configuração. Existem cerca de 80 módulos no total que incluem carregadores, orquestradores, comunicadores de comando e controle, gravadores de áudio, keyloggers, grabbers de webcam e ecrã, documentos e ferramentas para roubar chaves de criptografia.
O "TajMahal" também é capaz de roubar cookies do navegador, coletar a lista de backup de dispositivos móveis da Apple, roubar dados de um CD gravado pela vítima, bem como documentos que estão na fila de uma impressora. Pode também solicitar o roubo de um arquivo em específico, visto anteriormente em pen drives, e ele passa a ser roubado na próxima vez que for conectada à entrada USB do computador.
Os sistemas-alvo identificados pela Kaspersky Lab foram infectados por ambos os pacotes "Tokyo" e "Yokohama". Isto sugere que o "Tokyo" foi utilizado no primeiro nível da infeção, inserindo o pacote "Yokohama" nas vítimas de interesse e deixando-o lá para fins de backup.
Até agora, apenas uma vítima foi identificada: uma entidade diplomática na Ásia Central com base estrangeira e que foi infectada em 2014. Os vetores de distribuição e infecção do "TajMahal" continuam desconhecidos.
