KasperskyLab обнаружила крайне сложную платформу для кибершпионажа — TajMahal. Инструмент содержит более 80 различных модулей, которые обладают крайне широкими функциями, в том числе такими, какие не встречались ранее в инструментарии для кибершпионажа, сообщила «Лаборатория Касперского» изданию Upgrade в пресс-релизе.
К настоящему времени «Лаборатории Касперского» удалось обнаружить лишь одну жертву TajMahal — посольство среднеазиатской страны, однако исследователи уверены, что целями злоумышленников, скорее всего, стало гораздо больше организаций. В состав TajMahal входят два основных модуля, которые называются Tokyo и Yokohama. Tokyo — меньший из них по размеру и функциональности, но именно с него начинается атака. Он содержит один бэкдор (программу для удалённого контроля) и модуль для коммуникации с сервером злоумышленников. Tokyo частично написан на PowerShell и остаётся в заражённой системе даже после того, как операция кибершпионажа вошла в основную стадию.
За эту основную стадию отвечает пакет Yokohama — настоящий «швейцарский нож» кибершпиона. Yokohama поддерживает собственную виртуальную файловую систему (VFS) со всеми плагинами, вспомогательные библиотеки и конфигурационные файлы. В общей сложности пакет насчитывает около 80 модулей, и среди их возможностей перехват нажатий клавиш, осуществление аудиозаписей и снимков экрана, перехват трансляции веб-камеры, кража документов и ключей шифрования. Благодаря такому многообразию инструментов TajMahal способен получать доступ к cookie-файлам браузеров и спискам резервного копирования для мобильных устройств Apple, красть данные, которые пользователь собирается записать на компакт-диск, а также документы из очереди на печать. Помимо этого, кибершпионская платформа может украсть определённый файл, который ранее был замечен ею на USB-флешке, — кража происходит при последующем подключении флешки к компьютеру жертвы. Анализ вредоносного кода показал, что платформа TajMahal была создана по меньшей мере 6 лет назад: первые найденные образцы зловредов относятся к апрелю 2013 года. Последнее обновление инструмента для кибершпионажа проводилось в августе 2018-го.
Способы распространения и векторы заражения TajMahal исследователям пока неизвестны.
