HomeTecnologiaCibersegurançaTajMahal: plataforma de espionagem com 80 elementos maliciosos, funcionalidades únicas e sem links conhecidos é utilizada por hackers para realizar ataques

TajMahal: plataforma de espionagem com 80 elementos maliciosos, funcionalidades únicas e sem links conhecidos é utilizada por hackers para realizar ataques

 

·         Os especialistas da Kaspersky Lab descobriram uma infraestrutura sofisticada de ciberespionagem que tem estado ativa, pelo menos, desde 2013, e que parece estar desconectada de hackers conhecidos.

 

·      A infraestrutura tem o nome de “TajMahal”, inclui 80 módulos maliciosos e funcionalidades nunca antes vistas em ameaças persistentes avançadas (APT), tais como a capacidade de roubar informação através de impressoras e de poder retirar ficheiros visualizados a partir de um dispositivo USB numa próxima reconexão.

 

·         Até agora, a Kaspersky Lab só identificou uma embaixada situada na Ásia Central como a única vítima, mas é muito provável que outras entidades tenham sido afetadas.

 

 

Os especialistas da Kaspersky Lab descobriram o “TajMahal” no final de 2018. Esta é uma infraestrutura tecnicamente sofisticada de APT, desenhada para uma vasta ação de ciberespionagem. A análise de malware mostra que a plataforma foi desenvolvida e utilizada, pelo menos, nos últimos cinco anos, sendo que a data da amostra mais antiga é de abril de 2013 e a mais recente de agosto de 2018. O nome “TajMahal” vem do nome do ficheiro utilizado para extrair a informação roubada. Estima-se que a infraestrutura “TajMahal” inclua dois pacotes principais chamados “Tokyo” e “Yokohama”.

 

“Tokyo” é o pacote mais pequeno dos dois, com cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controlo. “Tokyo” utiliza o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois. 

 

“A infraestrutura TajMahal é uma descoberta muito interessante e preocupante. A sua sofisticação técnica vai além de todas as dúvidas e inclui funcionalidades que nunca vimos em agentes de ameaças avançadas. Desta forma, um grande número de questões permanece por responder. Por exemplo, parece-nos muito pouco provável que este investimento tenha apenas como alvo uma vítima. Isto sugere que vão existir vítimas pela frente que ainda não foram identificadas ou então versões adicionais deste malware no seu estado natural – ou possivelmente em ambos os estados. Os vetores de distribuição e infeção desta ameaça ainda permanecem desconhecidos. De alguma forma, isto ficou longe do radar durante cinco anos. Ou isto se deve ao facto de ter estado inativa ou há questões intrigantes por responder. Não existem pistas que possamos seguir, nem quaisquer links que nos levam a grupos de ameaças”, afirma Alexey Shulmin, especialista em lead malware na Kaspersky Lab.

 

 

doc icon 190412_TajMahal.docx