April 15, 2019

В «Лаборатории Касперского» нашли уникальный шпионский вирус TajMahal

Программисты нашли новый вирус, который уже 5 лет незаметно крадет данные с компьютеров. Определить его источник, принцип работы и способ выявления пока не удалось.

Недавно программисты обнаружили новую форму вредоносного программного обеспечения (ПО), внедренного как часть крайне скрытной кампании кибершпионажа с ранее неизвестными вредоносными функциями. Что самое интересное, специалисты до сих пор не могут определить её создателей и распространителей, так как она не похожа на программы ни одного из известных действующих хакеров.

Условно её называют TajMahal — по имени файла, используемого для переноса украденных данных. Она обходит самые мощные системы защиты и крадет документы, отправленные в очередь на печать, файлы на съемных дисках, данные на компакт-дисках, делает скриншоты рабочего стола и веб-камеры, использует кейлогинг (регистрация нажатия клавиш клавиатуры и движений мыши) для кражи имен пользователей, паролей и другой информации, открывает и пересылает документы с помощью собственного индексатора файлов для компьютера жертвы, а также похищает ключи шифрования, cookie-файлы браузера, собирает список резервных копий для мобильных устройств Apple и многое другое, в целом насчитывая около 80 вредоносных модулей, каждый из которых предназначен для шпионской деятельности. Таким образом TajMahal предоставляет злоумышленникам полноценную шпионскую структуру со своего рода черным ходом в зараженные системы.

Это ПО нашли исследователи из «Лаборатории Касперского» и подробно о нем рассказали на форуме Security Analyst Summit 2019 в Сингапуре. Описанный как «технически сложная платформа целевой кибератаки, предназначенная для обширного кибершпионажа», TajMahal впервые был обнаружен в конце 2018 года, но активен он уже более пяти лет — самый ранний экземпляр датирован апрелем 2013 года.

TajMahal смог прятаться так долго, потому что у него совершенно новая кодовая база, не похожая на известные коды для целевых кибератак или вредоносные программы, и механизм автоматического обновления, который регулярно используется для развертывания новых образцов, чтобы его нельзя было обнаружить. Его поиском занялись после того, как программа безопасности «Касперского» нашла в компьютере подозрительный файл, но не смогла его распознать. «Файл оказался вредоносным плагином такого уровня сложности, который предполагал целевую кибератаку, а отсутствие сходства кода с любой известной атакой указывало на то, что это было нечто совершенно невиданное, — сказал ведущий аналитик по вредоносным программам в «Лаборатории Касперского» Алексей Шульмин. — По его образцу мы смогли найти подобные и в других компьютерах. В итоге мы поняли, что вредоносное ПО было частью ранее неизвестной, крайне редкой кибершпионажной платформы».

Токио и Иокогама

Исследователи полагают, что структура основана на двух пакетах, называемых Токио и Иокогама. Токио — меньший из двух, состоящий всего из трех модулей, один из которых является основным инструментом обхода системы защиты и соединения с сервером управления и контроля. Иокогама же содержит все остальные возможности TajMahal, поэтому Токио скорее всего является первоначальным файлом, устанавливающим вирус в систему, который затем доставляет полнофункциональное вредоносное ПО в качестве загрузки на втором этапе — с оставленным первоначальным файлом на тот случай, если это потребуется для целей резервного копирования позже.

Метод распространения TajMahal до сих пор неизвестен, и заражение наблюдалось на практике только один раз — в системе, которая описывается как «дипломатическая организация из страны в Центральной Азии», причем заражение произошло в 2014 году. Программисты отмечают, что ранее эта жертва безуспешно подверглась нападению со стороны Zebroacy (троянское вредоносное ПО, связанное с российской хакерской группой, поддерживаемой государством), хотя считается, что эти две кампании не связаны между собой. Тем не менее, из-за изощренности вредоносного ПО и его уникальных возможностей, маловероятно, что дипломатическая цель — единственная жертва, пораженная TajMahal за более чем пять лет.

Структура TajMahal — очень интересная и интригующая находка. Техническая изощренность не подлежит сомнению, и маловероятно, что такие огромные инвестиции были бы предприняты только для одной жертвы. Скорее всего есть и другие жертвы, которых мы еще просто не нашли, — сказал Шульмин.

Чтобы помочь в защите от атак новых и неизвестных субъектов, специалисты рекомендуют обновлять все программное обеспечение, используемое в организации, и приоритетно устанавливать патчи безопасности, предназначенные для устранения известных уязвимостей.

Все продукты «Лаборатории Касперского» были обновлены для защиты от TajMahal, и разработчики уже предоставили полный анализ кампании в блоге «Касперского».

Источник: ZDNet