Ein zweiter Taj Mahal (zwischen Tokyo und Yokohama)

Die neue Spionageplattform TajMahal hat eine zentralasiatische diplomatische Einheit im Visier.

Im Herbst 2018 haben unsere Experten einen Angriff auf eine zentralasiatische diplomatische Einheit entdeckt. Fakt ist: Diplomaten und ihre Informationssysteme wecken phasenweise das Interesse verschiedener politischer Kräfte; deshalb würde es an dieser Stelle auch keinen Beitrag geben, wäre da nicht das von den Angreifern eingesetze Tool: eine neue APT-Plattform namens TajMahal.

TajMahal ist ein hochwertiges und hochtechnologisches Spyware-Framework mit einer enorm großen Plug-in-Anzahl (unsere Experten konnten bisher 80 schädliche Module finden), die dank verschiedener Tools und Werkzeuge alle potenziell umsetzbaren Angriffsszenarien ermöglichen. Die Malware-Analysen unserer Experten zeigen, dass die Plattform TajMahal über mindestens fünf Jahre lang entwickelt und verwendet wurde; die Tatsache, dass es bislang nur ein bestätigtes Opfer gibt, deutet lediglich darauf hin, dass weitere Opfer erst identifiziert werden müssen.

Wozu ist TajMahal in der Lage?

Die APT-Plattform umfasst zwei Hauptpakete: Tokyo und Yokohama. Beide konnten auf allen infizierten Computern gefunden werden. Tokyo enthält die Haupt-Backdoor-Funktion und stellt in regelmäßigen Abständen eine Verbindung mit den Command-and-Control-(C&C)-Servern her und verbleibt auch nach dem Eindringen im Netzwerk, während Stufe Zwei des Angriffs – Yokohama – ausgeführt wird. Yokohama fungiert währenddessen als „Waffennutzlast“ der zweiten Phase und bildet ein vollausgestattetes Spionage-Framework, das ein Virtual File System (VFS) mit allen Plug-ins, Open Source- und proprietären Drittanbieter-Bibliotheken sowie Konfigurationsdateien enthält. TajMahal ist in der Lage:

  • Cookies zu stehlen;
  • Dokumente in der Drucker-Warteschlange zu stehlen,
  • Daten über das Opfer zu sammeln (darunter auch die Back-up-Liste mobiler Apple-Geräte);
  • VoIP-Anrufe aufzunehmen und Screenshots zu erstellen;
  • Den Diebstahl einer bestimmten Datei von einem zuvor gesehenen USB-Stick anzufordern und die Datei bei der nächsten Verbindung des USB-Sticks mit dem Computer zu stehlen.

Fazit

Die technische Komplexität der Spionageplattform TajMahal macht sie zu einem sehr besorgniserregenden Fund; auch die Zahl der bisher identifizierten Opfer wird höchstwahrscheinlich in nächster Zeit noch steigen. Doch es gibt Hoffnung, denn alle Kaspersky-Produkte erkennen und blockieren diese Bedrohung. Einen detaillierten Bericht über das APT-Framework finden Sie auf Securelist.

Da die Bedrohung mithilfe unserer automatisierten Heuristik-Technologien entdeckt werden konnte, ist es sinnvoll, bewährte Sicherheitslösungen wie Kaspersky Security for Business einzusetzen, um sich vor TajMahal und ähnlichen Bedrohungen angemessen zu schützen.

Tipps