Descubierto un framework de espionaje con 80 elementos maliciosos
Los analistas de Kaspersky Lab han descubierto un framework de ciberespionaje técnicamente sofisticada y activa desde al menos 2013. No parece tener conexión alguna con cualquier otro actor de amenazas conocido.
Esta estructura, a la que los investigadores han bautizado como TajMahal, cuenta con aproximadamente 80 elementos maliciosos e incluye unas nuevas funcionalidades nunca vistas anteriormente en una amenaza avanzada persistente (APT), como la capacidad de robar información de las mismas colas de impresión y la de poder capturar archivos visualizados desde un dispositivo USB en una reconexión. Hasta el momento, Kaspersky Lab solo ha identificado una víctima, una sede diplomática ubicada en un país de Asia central, pero es bastante probable que haya más afectados.
A finales de 2018 los analistas de Kaspersky Lab descubrieron TajMahal, una framework APT técnicamente sofisticada cuyo objetivo es el ciberespionaje. El análisis del malware muestra que la estructura se ha desarrollado y se ha utilizado durante al menos los últimos cinco años, datándose la primera referencia de abril de 2013, y la más reciente de agosto 2018. El nombre TajMahal proviene del nombre del archivo utilizado para extraer los datos robados. TajMahal parece contar con dos paquetes principales, autodenominados “Tokyo” y “Yokohama”.
Tokyo es el más pequeño de los dos e incluye tres módulos, entre ellos el que actúa como backdoor y que se conecta periódicamente con los servidores de comando y control. Tokyo utiliza PowerShell y permanece en la red incluso después de que la intrusión haya pasado a la fase dos.
Es en la segunda fase o etapa cuando actúa el paquete Yokohama, un completo esquema de ciberespionaje. Yokohama incluye un sistema virtual de archivos -Virtual File System (VFS)- con todos los plugins, librerías de código abierto y propietario de terceros, y archivos de configuración. En total cuenta con cerca 80 módulos, desde cargadores, orquestadores, gestores de conexión a servidores de comando y control hasta complementos para grabación de audio, captura de pulsaciones del teclado, grabación de pantalla y Webcam, robo de documentos y claves criptográficas.
TajMahal además es capaz de hacerse con las cookies del navegador, obtener la lista de copias de seguridad para dispositivos móviles de Apple, robar datos de un CD grabado por la víctima, así como los documentos que se encuentren en una cola de impresión. También puede robar un archivo concreto de una memoria USB. El robo se produciría en la siguiente conexión del USB al ordenador.
Los sistemas atacados encontrados por Kaspersky Lab estaban infectados con Tokyo y Yokohama. Esto sugiere que Tokio fue usado como la primera fase de la infección, para luego, en una segunda etapa, desplegar el paquete completo Yokohama en objetivos de interés, dejando Tokyo residente como copia de seguridad.
Hasta ahora solo se ha identificado una víctima, una delegación diplomática extranjera abierta en un país de Asia central, y que llevaba infectada desde 2014. La forma de distribución y los vectores infección de TajMahal son por ahora desconocidos.
“La estructura TajMahal es un descubrimiento muy interesante y preocupante. Su sofisticación técnica va más allá de cualquier duda, y cuenta con unas funcionalidades que hasta ahora no habíamos visto en ningún otro actor de amenazas avanzadas. Pero todavía existen varios interrogantes. Por ejemplo, parece algo muy improbable que se haya podido realizar una gran inversión solo para infectar a una víctima. Que haya más víctimas parece algo lógico, pero todavía no las hemos encontrado. Quizás también haya otras versiones adicionales de este malware sin identificar. Y por qué no, ambas posibilidades pueden darse simultáneamente. La manera de distribución e infección sigue siendo desconocida. Es preocupante que, durante cinco años no hayamos sabido nada, bien quizás por inactividad bien por otro motivo que desconocemos. Tampoco tenemos ninguna pista sobre su posible autoría ni hemos encontrado relación con grupos de amenazas conocidos”, dijo Alexey Shulmin, analista jefe de malware en Kaspersky Lab.