Kaspersky Lab ontdekt compleet nieuw cyberspionageplatform

Kaspersky Lab onderzoekers hebben een compleet nieuw en technisch geavanceerd cyberspionageplatform ontdekt dat volgens de fabrikant van beveiligingssoftware al sinds 2013 actief is en geen banden lijkt te hebben met bekende dreigingsactoren.

Het netwerk dat de naam TajMahal heeft gekregen, bestaat uit zo´n tachtig schadelijke modules. Bovendien beschikt dit nieuwe cyberspionageplatform over functionaliteit die nooit eerder is waargenomen bij geavanceerde dreigingen. Zo is TajMahal in staat informatie uit printerwachtrijen te stelen en eerder bekeken bestanden van een USB-stick te stelen als de stick opnieuw wordt aangesloten op de computer. Tot nu toe is bekend dat een Aziatische ambassade slachtoffer is van dit nieuwe cyberspionageplatform. Wellicht zijn er meer gedupeerden die vooralsnog niet bekend zijn. Het TajMahal netwerk bestaat waarschijnlijk uit twee onderdelen genaamd ‘Tokyo’ en ‘Yokohama’.

Zeer geavanceerd
Dit compleet nieuwe cyberspionageplatform is een technisch zeer geavanceerd APT-netwerk dat ontwikkeld is voor diepgaande cyberspionage. Zo is TajMahal in staat browser cookies te verzamelen, de hand te leggen op back-up-lijsten van mobiele Apple-apparatuur, data van een gebrande cd te stelen en documenten uit een printerwachtrij te halen. Het TajMahal platform kan bovendien eerder bekeken bestanden van een USB-stick stelen zodra de stick opnieuw in de computer wordt gedaan. Uit malware-analyse van de Kaspersky Lab-onderzoekers blijkt dat het platform de afgelopen vijf jaar is gebruikt. Het eerste geval dateert van april 2013. De meest recente cyberaanval was in augustus 2018. Het platform is genoemd naar het bestand dat is gebruikt om de gestolen data te exfiltreren.

Achterdeurfunctionaliteit
De kleinste van de twee onderdelen van het nieuw ontdekte cyberspionageplatform is Tokyo, dat ongeveer drie modules bevat. Dit onderdeel voorziet in de belangrijkste achterdeurfunctionaliteit en maakt periodiek verbinding met command & control servers. Tokyo maakt gebruik van PowerShell en blijft in het netwerk aanwezig, ook als de operatie al volledig actief is. Fase twee is het Yokohama-pakket: een volledig bewapend spionageraamwerk. Yokohama bevat een virtueel bestandssysteem (Virtual File System, VFS) met alle plug-ins, open source-bibliotheken, databanken van derde partijen en configuratiebestanden. In totaal beschikt Yokohama over zo’n tachtig modules, waaronder loaders, orchestrators, command and control communicators, audiorecorders, keyloggers, scherm- en ‘webcam-grabbers’, documenten en modules die cryptografiesleutels stelen.

Interessante slachtoffers
De door Kaspersky Lab geïdentificeerde aangevallen systemen zijn besmet met Tokyo én Yokohama. Dit wekt de indruk dat Tokyo is gebruikt voor de eerste fase van de infectie, waarna het volledig functionele Yokohama-onderdeel is ingezet bij interessante slachtoffers en uiteindelijk is achtergelaten voor back-up-doeleinden.
“Het verfijnde technische vernuft en de nooit eerder vertoonde functionaliteit van dit TajMahal cyberspionageplatform zijn ongekend. Daarom lijkt het ons zeer onwaarschijnlijk dat de enorme investering die hiermee gepaard gaat, voor één slachtoffer is ingezet. Het is dus zeer aannemelijk dat er sprake is van meerdere slachtoffers of dat er verschillende versies van de malware in omloop zijn. Wie weet zijn beide situaties aan de orde. Op de een of andere manier is dit platform erin geslaagd meer dan vijf jaar onder de radar te blijven. We onderzoeken nu of dat komt omdat het cyberspionagenetwerk nog niet op grote schaal actief is geweest of dat er andere zaken spelen. Tot nu toe hebben we geen sporen kunnen vinden naar bestaande APT groepen”, vertelt Jornt van der Wiel, cybersecurity-expert bij Kaspersky Lab.

Meer informatie over TajMahal is vinden op Securelist.

Deel dit artikel via: