TajMahal: Spionageplattform mit einzigartiger Funktionalität

KASPERSKY lab warnt vor Datendiebstahl aus Drucker-Warteschlangen und von USB-Geräten

[datensicherheit.de, 11.04.2019] Experten von KASPERSKY lab haben nach eigenen Angaben ein technisch ausgereiftes Framework für Cyber-Spionage entdeckt, welches „seit mindestens 2013 aktiv ist und mit keinem bekannten Bedrohungsakteur in Verbindung zu stehen scheint“. Diese Spionageplattform umfasst demnach rund 80 schädliche Module und enthält Funktionen, die bisher noch nie bei einer „Advanced Persistend Threat“ (APT) gesehen wurden. So könnten unter anderem Informationen aus der Drucker-Warteschlange gestohlen und zuvor gesehene Dateien auf einem USB-Gerät bei der nächsten Verwendung desselben abgerufen werden. KASPERSKY lab habe bisher zwar „nur ein Opfer gesehen“, eine zentralasiatische Botschaft mit Sitz im Ausland. Die Wahrscheinlichkeit indes, dass weitere Opfer existieren, sei allerdings hoch.

Ausgereiftes APT-Framework für umfangreiche Cyber-Spionage

Ende des Jahres 2018 hätten Experten von KASPERSKY lab Lab „TajMahal“ als ein ausgereiftes APT-Framework entdeckt, welches für umfangreiche Cyber-Spionage entwickelt worden sei. Die Malware-Analysen hätten zeigen können, dass diese Plattform über mindestens fünf Jahre lang entwickelt und verwendet worden sei – das früheste Sample datiere vom April 2013, das neueste vom August 2018. Der Name „TajMahal“ leite sich aus der Benennung der Datei zur Herausfilterung der Daten ab.
Das „TajMahal“-Framework umfasse wohl zwei Hauptpakete: „Tokyo“ und „Yokohama“. „Tokyo“ sei das kleinere der beiden mit drei Modulen. Es enthalte die Haupt-Backdoor-Funktion und stelle in regelmäßigen Abständen eine Verbindung mit den Command-and-Control-Servern (C&C) her. „Tokyo“ nutze „PowerShell“ und verbleibe auch nach dem Eindringen im Netzwerk, während Stufe 2 des Angriffs – „Yokohama“ – ausgeführt werde. Das „Yokohama“-Paket sei ein vollausgestattetes Spionage-Framework, welches ein „Virtual File System“ (VFS) mit allen Plug-ins, Open-Source- und proprietären Drittanbieter-Bibliotheken sowie Konfigurationsdateien enthalte. Insgesamt handele es sich um fast 80 Module, darunter Loader, Orchestratoren, C&C-Kommunikatoren, Audio-Recorder, Keylogger, Bildschirm- und Webcam-Grabber sowie Spionagesoftware für Dokumente- und Kryptoschlüssel.

Unerwarteter Daten-Diebstahl

„TajMahal“ sei in der Lage, Browser-Cookies, die Backup-Liste für mobile Apple-Geräte, Daten von einer von einem Opfer gebrannten CD sowie Dokumente in einer Drucker-Warteschlange zu stehlen. Darüber hinaus könne die Spionageplattform den Diebstahl einer bestimmten Datei von einem zuvor gesehenen USB-Stick anfordern – die Datei werde dann bei der nächsten Verbindung des USB-Sticks mit dem Computer gestohlen.
Die von KASPERSKY lab gefundenen Zielsysteme seien sowohl mit „Tokyo“ als auch mit „Yokohama“ infiziert gewesen. Dies lege nahe, dass „Tokyo“ zur Erstinfektion verwendet und das voll funktionsfähige „Yokohama“-Paket für interessante Opfer eingesetzt worden sei; ersteres wurde dann zu Backup-Zwecken zurückgelassen.

Bemerkenswerte technische Raffinesse

Bisher sei nur ein Opfer identifiziert worden – eine im Ausland ansässige, zentralasiatische diplomatische Einheit, die 2014 infiziert worden sei. Die Verbreitungs- und Infektionsvektoren für „TajMahal“ seien derzeit nicht bekannt. Irgendwie sei sie über fünf Jahre „unter dem Radar“ geblieben – ob dies auf eine relative Inaktivität oder etwas Anderes zurückzuführen ist, bleibe offen. Es gebe keine Hinweise zur Attribution oder Verbindungen zu bekannten Bedrohungsakteuren.
„Das ,TajMahal‘-Framework ist ein sehr interessanter und faszinierender Fund“, sagt Alexey Shulmin, leitender „Malware-Analyst“ bei KASPERSKY lab: „Die technische Raffinesse steht außer Zweifel und es bietet Funktionen, die wir bei fortgeschrittenen Bedrohungsakteuren bisher nicht gesehen haben. Es bleiben noch einige Fragen offen. Es ist beispielsweise höchst unwahrscheinlich, dass eine so große Investition nur für ein einziges Opfer getätigt wurde. Dies deutet darauf hin, dass es entweder noch weitere, bisher unbekannte Opfer oder weitere Versionen dieser Malware gibt – oder möglicherweise beides.“

Schutzempfehlungen von KASPERSKY lab

Alle KASPERSKY-Produkte würden diese Bedrohung erkennen und blockieren. Folgenden Maßnahmen werden nach eigenen Angaben von KASPERSKY empfohlen, um nicht einem gezielten Angriff eines bekannten oder unbekannten Bedrohungsakteurs zum Opfer zu fallen:

• Sicherheitslösung wie z.B. „Kaspersky Endpoint Security for Business“, mit verhaltensabhängigen Erkennungsfunktionen ausgestattet, böten einen wirksamen Schutz vor bekannten und unbekannten Bedrohungen, einschließlich Exploits.
• Zusätzliche fortschrittliche Sicherheits-Tools wie z.B. die „Kaspersky Anti Targeted Attack Platform“ gewährleisteten, dass Sicherheitsteams Zugriff auf die neuesten Cyber-Bedrohungsdaten hätten.
• Im Unternehmen verwendete Software sollte regelmäßig aktualisiert werden, insbesondere wenn ein neuer Sicherheitspatch veröffentlicht wird. Sicherheitsprodukte mit Schwachstellenprüfungs- und Patch-Management-Funktionen könnten dazu beitragen, diese Prozesse zu automatisieren.
• Mitarbeiter müssten in den Grundlagen der Cyber-Sicherheits-Hygiene geschult werden, da viele gezielte Angriffe mit Phishing oder anderen Social-Engineering-Techniken beginnen würden.

Weitere Informationen zum Thema:

KASPERSKY lab, SECURELIST, 10.04.2019
Project TajMahal – a sophisticated new APT framework

datensicherheit.de, 09.04.2019
KASPERSKY lab warnt vor digitalen Doppelgängern

datensicherheit.de, 20.03.2017
KASPERSKY lab warnt: IT-Sicherheitsbranche übersieht potenzielle Nachwuchskräfte