Kaspersky Lab descobre a TajMahal, plataforma sofisticada de espionagem com 80 módulos maliciosos

A Kaspersky Lab anuncia a descoberta de uma infraestrutura sofisticada de ciberespionagem que tem estado ativadesde 2013 e que parece estar desconectada de hackers conhecidos. A infraestrutura tem o nome de “TajMahal”, inclui 80 módulos maliciosos e funcionalidades nunca antes vistas em ameaças persistente avançadas, tais como roubo de informação em impressoras e de dispositivos USB. Até agora, a Kaspersky Lab identificou uma embaixada situada na Ásia Central como a única vítima, mas é muito provável que outras entidades tenham sido afetadas.

Os especialistas da Kaspersky Lab descobriram o “TajMahal” no final de 2018. Esta é uma infraestrutura de APT tecnicamente sofisticada, desenhada para uma vasta ação de ciberespionagem. A análise de malware mostra que a plataforma foi desenvolvida e utilizada, pelo menos, nos últimos cinco anos, sendo que a data da amostra mais antiga é de abril de 2013 e a mais recente de agosto de 2018. O nome “TajMahal” vem do nome do arquivo utilizado para extrair a informação roubada. Estima-se que a infraestrutura “TajMahal” inclua dois pacotes principais chamados “Tokyo” e “Yokohama”.

“Tokyo” é o menor pacote e tem cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controle. “Tokyo” aproveita o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois.

O nível dois diz respeito ao pacote “Yokohama”: uma infraestrutura cheia de ferramentas de espionagem. Este inclui um Sistema Virtual de Arquivos (VFS) com plugins, open source, bibliotecas de terceiros e arquivos de configuração. Existem cerca de 80 módulos no total que incluem carregadores, orquestradores, comunicadores de comando e controle, gravadores de áudio, keyloggers, grabbers de webcam e ecrã, documentos e ferramentas para roubar chaves de criptografia.

O “TajMahal” também é capaz de roubar cookies do navegador, coletar a lista de backup de dispositivos móveis da Apple, roubar dados de um CD gravado pela vítima, bem como documentos que estão na fila de uma impressora. Pode também solicitar o roubo de um arquivo em específico, visto anteriormente em pen drives, e ele passa a ser roubado na próxima vez que for conectada à entrada USB do computador.

Os sistemas-alvo identificados pela Kaspersky Lab foram infectados por ambos os pacotes “Tokyo” e “Yokohama”. Isto sugere que o “Tokyo” foi utilizado no primeiro nível da infeção, inserindo o pacote “Yokohama” nas vítimas de interesse e deixando-o lá para fins de backup.

Até agora, apenas uma vítima foi identificada: uma entidade diplomática na Ásia Central com base estrangeira e que foi infectada em 2014. Os vetores de distribuição e infecção do “TajMahal” continuam desconhecidos.

“A infraestrutura TajMahal é uma descoberta muito interessante e intrigante. A sua sofisticação técnica é incontestável e inclui funcionalidades que nunca vimos em grupos especializados em APTs. Ainda há muitas questões sem respostas. Por exemplo, nos parece muito pouco provável que este investimento tenha apenas uma vítima como alvo. Isto sugere que há vítimas que ainda não foram identificadas ou que há versões atualizadas deste malware em ação– ou possivelmente ambas as opções. Os vetores de distribuição e infeção desta ameaça ainda permanecem desconhecidos. De qualquer forma, ela ficou longe do radar durante cinco anos. Ou isto se deve ao fato de ter estado inativa ou há questões intrigantes ainda sem respostas. Não existem pistas que possamos seguir, nem quaisquer links que nos levam a grupos que criaram esta ameaças”,afirma Alexey Shulmin, especialista em lead malware na Kaspersky Lab.

Todos os produtos da Kaspersky Lab já detectam e bloqueiam esta ameaça.

Para evitar ser vítima de ataques dirigidos criados por grupos especializados em APT conhecidos ou desconhecidos, os especialistas da Kaspersky Lab recomendam implementar as seguintes medidas:

Usar ferramentas de segurança avançada como o Kaspersky AntiTargetedAttack Platform e tenha certeza de que a sua equipe de segurança tem acesso aos mais recente relatórios de inteligência em ciberameaças;
Assegure que todos os softwares utilizados na empresa sejam atualizados regularmente, especialmente quando um patch de segurança é lançado. Soluções de segurança com a função de Avaliação de Vulnerabilidades e Gestão de Patches podem automatizar esse processo;
Escolha uma solução de segurança com qualidade comprovada como o Kaspersky Endpoint Security,e com detecção baseada em comportamentos para garantir uma proteção efetiva contra ameaças conhecidas e desconhecidas, incluindo aquelas que exploram vulnerabilidades;
Garanta que a equipe compreende as regras básicas de cibersegurança, tal como saber que muitas das ameaças dirigidas começam com phishing ou outra técnica de engenharia social.

O relatório da infraestrutura de APT “TajMahal” pode ser encontrado na Securelist.

Sobre a Kaspersky Lab
A Kaspersky Lab é uma empresa internacional de cibersegurança que tem mais de 21 anos de operações no mercado. A detalhada inteligência de ameaças e a especialização em segurança da Kaspersky Lab se transformam continuamente em soluções e serviços de segurança da próxima geração para proteger empresas, infraestruturas críticas, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky Lab, e ajudamos 270.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em www.kaspersky.com.br.
Copyright © 2014 JeffreyGroup Brasil, All rights reserved.