TajMahal: un framework de espionaje con 80 elementos maliciosos, funcionalidades únicas y sin enlaces conocidos a actores de amenazas conocidos

TajMahal: un framework de espionaje con 80 elementos maliciosos, funcionalidades únicas y sin enlaces conocidos a actores de amenazas conocidos

Los analistas de Kaspersky Lab han descubierto un framework de ciberespionaje técnicamente sofisticada y activa desde al menos 2013. No parece tener conexión alguna con cualquier otro actor de amenazas conocido. Esta estructura, a la que los investigadores han bautizado como TajMahal, cuenta con aproximadamente 80 elementos maliciosos e incluye unas nuevas funcionalidades nunca vistas anteriormente en una amenaza avanzada persistente (APT), como la capacidad de robar información de las mismas colas de impresión y la de poder capturar archivos visualizados desde un dispositivo USB en una reconexión. Hasta el momento, Kaspersky Lab solo ha identificado una víctima, una sede diplomática ubicada en un país de Asia central, pero es bastante probable que haya más afectados.

Acorde a los especialistas del curso de ethical hacking, el spyware TajMahal (bautizado así por los investigadores) es capaz de interceptar documentos en espera de ser impresos, dar seguimiento a archivos de interés para el atacante y extracción automática de archivos seleccionados al conectar una unidad de almacenamiento externo. Por si no fuese suficiente, los investigadores afirmaron que este spyware no parece tener relación alguna con ningún grupo conocido de cibercriminales vinculados con algún gobierno.

“Este es un desarrollo altamente complejo. TajMahal es extremadamente raro, además de ser muy avanzado y sofisticado”, mencionan los investigadores. “El spyware tiene un código completamente nuevo, no parece estar relacionado con algún otro software espía desarrollado en el pasado”.

A finales de 2018 los analistas de Kaspersky Lab descubrieron TajMahal, una framework APT técnicamente sofisticada cuyo objetivo es el ciberespionaje. El análisis del malware muestra que la estructura se ha desarrollado y se ha utilizado durante al menos los últimos cinco años, datándose la primera referencia de abril de 2013, y la más reciente de agosto 2018. El nombre TajMahal proviene del nombre del archivo utilizado para extraer los datos robados. TajMahal parece contar con dos paquetes principales, autodenominados “Tokyo” y “Yokohama”.

Tokyo es el más pequeño de los dos e incluye tres módulos, entre ellos el que actúa como backdoor y que se conecta periódicamente con los servidores de comando y control. Tokyo utiliza PowerShell y permanece en la red incluso después de que la intrusión haya pasado a la fase dos. Además los hackers plantarán la carga útil más importante de TajMahal, identificada como Yokohama.

Es en la segunda fase o etapa cuando actúa el paquete Yokohama, un completo esquema de ciberespionaje. Yokohama incluye un sistema virtual de archivos -Virtual File System (VFS)- con todos los plugins, librerías de código abierto y propietario de terceros, y archivos de configuración. En total cuenta con cerca 80 módulos, desde cargadores, orquestadores, gestores de conexión a servidores de comando y control hasta complementos para grabación de audio, captura de pulsaciones del teclado, grabación de pantalla y Webcam, robo de documentos y claves criptográficas.

TajMahal además es capaz de hacerse con las cookies del navegador, obtener la lista de copias de seguridad para dispositivos móviles de Apple, robar datos de un CD grabado por la víctima, así como los documentos que se encuentren en una cola de impresión. También puede robar un archivo concreto de una memoria USB. El robo se produciría en la siguiente conexión del USB al ordenador.

Los sistemas atacados encontrados por Kaspersky Lab estaban infectados con Tokyo y Yokohama. Esto sugiere que Tokio fue usado como la primera fase de la infección, para luego, en una segunda etapa, desplegar el paquete completo Yokohama en objetivos de interés, dejando Tokyo residente como copia de seguridad.

Hasta ahora solo se ha identificado una víctima, una delegación diplomática extranjera abierta en un país de Asia central, y que llevaba infectada desde 2014. La forma de distribución y los vectores infección de TajMahal son por ahora desconocidos.

“La estructura TajMahal es un descubrimiento muy interesante y preocupante. Su sofisticación técnica va más allá de cualquier duda, y cuenta con unas funcionalidades que hasta ahora no habíamos visto en ningún otro actor de amenazas avanzadas. Pero todavía existen varios interrogantes. Por ejemplo, parece algo muy improbable que se haya podido realizar una gran inversión solo para infectar a una víctima. Que haya más víctimas parece algo lógico, pero todavía no las hemos encontrado. Quizás también haya otras versiones adicionales de este malware sin identificar. Y por qué no, ambas posibilidades pueden darse simultáneamente. La manera de distribución e infección sigue siendo desconocida. Es preocupante que, durante cinco años no hayamos sabido nada, bien quizás por inactividad bien por otro motivo que desconocemos. Tampoco tenemos ninguna pista sobre su posible autoría ni hemos encontrado relación con grupos de amenazas conocidos”, dijo Alexey Shulmin, analista jefe de malware en Kaspersky Lab.

Todos los productos de Kaspersky Lab detectan y bloquean con éxito esta amenaza.

Con el fin de evitar caer víctima de un ataque dirigido lanzado por un actor de amenazas conocido o desconocido, los analistas de Kaspersky Lab recomiendan implementar las siguientes medidas:

• Utilizar herramientas avanzadas de seguridad como Kaspersky Anti Targeted Attack Platform (KATA) y asegurarse que todo el equipo de seguridad tiene acceso a la información sobre ciberamenazas más reciente.
• Actualizar regularmente todo el software de la organización, sobre todo cuando hay un nuevo parche disponible. Los productos de seguridad que cuentan con funciones de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar estos procesos.
• Seleccionar una solución de seguridad probada, como Kaspersky Endpoint Security, que para una mejor protección frente amenazas conocidas y desconocidas, incluidos exploits, dispone de funciones de detección basadas en comportamiento.
• Asegurarse que los empleados de la organización son conscientes de las medidas de protección básicas a seguir, sobre todo cuando muchos de los ataques utilizan phishing y otras técnicas de ingeniería social.

En Securelist hay un informe disponible sobre la estructura APT TajMahal.