+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Лабораторія Касперського виявила складну та продуману в технічному плані платформу для кібершпигунства

Лабораторія Касперського виявила складну та продуману в технічному плані платформу для кібершпигунства

«Лабораторія Касперського» виявила вкрай складну та продуману в технічному плані платформу для кібершпигунства, її творців поки що не вдалося ідентифікувати. Шкідливий інструмент, що отримав назву TajMahal (на ім'я одного з використовуваних ним файлів), містить більше 80 різних модулів, які мають вкрай широкі функції, у тому числі такі, які не зустрічалися раніше в інструментарії для кібершпигунства. Наразі «Лабораторії Касперського» вдалося виявити лише одну жертву TajMahal – посольство середньоазіатської країни, проте дослідники впевнені, що цілями зловмисників, швидше за все, стало набагато більше організацій.

До складу TajMahal входять два основні модулі, які називаються Tokyo та Yokohama. Tokyo – менший з них за розміром та функціональністю, але саме з нього починається атака. Він містить один бекдор (програму для віддаленого контролю) та модуль для комунікації із сервером зловмисників. Tokyo частково написано на PowerShell і залишається в зараженій системі навіть після того, як операція кібершпигунства увійшла в основну стадію.

За цю основну стадію відповідає пакет Yokohama – справжній «швейцарський ніж» кібершпигуна. Yokohama підтримує власну віртуальну файлову систему (VFS) з усіма плагінами, допоміжні бібліотеки та конфігураційні файли. Загалом пакет налічує близько 80 модулів, і серед їхніх можливостей перехоплення натискань клавіш, здійснення аудіозаписів та знімків екрану, перехоплення трансляції веб-камери, крадіжка документів та ключів шифрування.

Завдяки такому різноманіттю інструментів TajMahal здатний отримувати доступ до cookie-файлів браузерів та списків резервного копіювання для мобільних пристроїв Apple, красти дані, які користувач збирається записати на компакт-диск, а також документи з черги на друк. Крім цього, кібершпигунська платформа може вкрасти певний файл, який раніше був помічений нею на USB-флешці, – крадіжка відбувається при подальшому підключенні флешки до комп'ютера жертви.

Аналіз шкідливого коду показав, що платформа TajMahal була створена щонайменше шість років тому: перші знайдені зразки зловредів відносяться до квітня 2013 р. Останнє оновлення інструменту для кібершпигунства проводилося в серпні 2018 р. Способи поширення та вектори зараження TaMa .

«TajMahal – дуже цікава та інтригуюча знахідка. Технічні можливості цієї платформи вражають, вона здатна робити те, чого ми ніколи не бачили раніше навіть у найскладніших операціях кібершпигунства, – сказав антивірусний експерт "Лабораторії Касперського". – Незважаючи на ретельний аналіз TajMahal, у нас ще залишилося багато питань. Наприклад, хто стоїть за цією платформою, як їм вдавалося залишатися непоміченими усі ці роки? Поки що ми не можемо пов'язати цих зловмисників з жодної з відомих груп атакуючих. Крім того, малоймовірно, що вся ця технічна досконалість була створена виключно для однієї мети, яку нам вдалося виявити. Швидше за все, жертв набагато більше, або ці зловмисники використовують додаткові інструменти в інших атаках, або те й інше відразу».

Усі рішення «Лабораторії Касперського», за заявою компанії, успішно розпізнають та блокують TajMahal.

Інші новини

Найкраща ціна