Ein zweiter Taj Mahal (zwischen Tokyo und Yokohama)

10 Apr 2019

Im Herbst 2018 haben unsere Experten einen Angriff auf eine zentralasiatische diplomatische Einheit entdeckt. Fakt ist: Diplomaten und ihre Informationssysteme wecken phasenweise das Interesse verschiedener politischer Kräfte; deshalb würde es an dieser Stelle auch keinen Beitrag geben, wäre da nicht das von den Angreifern eingesetze Tool: eine neue APT-Plattform namens TajMahal.

TajMahal ist ein hochwertiges und hochtechnologisches Spyware-Framework mit einer enorm großen Plug-in-Anzahl (unsere Experten konnten bisher 80 schädliche Module finden), die dank verschiedener Tools und Werkzeuge alle potenziell umsetzbaren Angriffsszenarien ermöglichen. Die Malware-Analysen unserer Experten zeigen, dass die Plattform TajMahal über mindestens fünf Jahre lang entwickelt und verwendet wurde; die Tatsache, dass es bislang nur ein bestätigtes Opfer gibt, deutet lediglich darauf hin, dass weitere Opfer erst identifiziert werden müssen.

Wozu ist TajMahal in der Lage?

Die APT-Plattform umfasst zwei Hauptpakete: Tokyo und Yokohama. Beide konnten auf allen infizierten Computern gefunden werden. Tokyo enthält die Haupt-Backdoor-Funktion und stellt in regelmäßigen Abständen eine Verbindung mit den Command-and-Control-(C&C)-Servern her und verbleibt auch nach dem Eindringen im Netzwerk, während Stufe Zwei des Angriffs – Yokohama – ausgeführt wird. Yokohama fungiert währenddessen als „Waffennutzlast“ der zweiten Phase und bildet ein vollausgestattetes Spionage-Framework, das ein Virtual File System (VFS) mit allen Plug-ins, Open Source- und proprietären Drittanbieter-Bibliotheken sowie Konfigurationsdateien enthält. TajMahal ist in der Lage:

  • Cookies zu stehlen;
  • Dokumente in der Drucker-Warteschlange zu stehlen,
  • Daten über das Opfer zu sammeln (darunter auch die Back-up-Liste mobiler Apple-Geräte);
  • VoIP-Anrufe aufzunehmen und Screenshots zu erstellen;
  • Den Diebstahl einer bestimmten Datei von einem zuvor gesehenen USB-Stick anzufordern und die Datei bei der nächsten Verbindung des USB-Sticks mit dem Computer zu stehlen.

Fazit

Die technische Komplexität der Spionageplattform TajMahal macht sie zu einem sehr besorgniserregenden Fund; auch die Zahl der bisher identifizierten Opfer wird höchstwahrscheinlich in nächster Zeit noch steigen. Doch es gibt Hoffnung, denn alle Kaspersky-Produkte erkennen und blockieren diese Bedrohung. Einen detaillierten Bericht über das APT-Framework finden Sie auf Securelist.

Da die Bedrohung mithilfe unserer automatisierten Heuristik-Technologien entdeckt werden konnte, ist es sinnvoll, bewährte Sicherheitslösungen wie Kaspersky Security for Business einzusetzen, um sich vor TajMahal und ähnlichen Bedrohungen angemessen zu schützen.