TajMahal – шпигунське ПЗ, яке п’ять років залишалось непоміченим

Дослідники компанії з кібербезпеки розкрили подробиці про високотехнологічне шпигунське ПЗ, яке залишалося непоміченим протягом п’яти років.

APT-фреймворк TajMahal є модульним інструментарієм, який не тільки підтримує безліч плагінів для шпигунства, але також використовує раніше невідомі і до кінця незрозумілі техніки.

Фахівці виявили TajMahal (походження назви не пояснюється) восени минулого року, коли кіберзлочинці використовували його для атаки неназваної дипломатичної організації в одній з країн Центральної Азії. Як показав аналіз шкідливого коду, що стоїть за ним угруповання активне принаймні з 2014 року.

Фреймворк складається з двох пакетів – Tokyo і Yokohama, що включають в себе більше 80 шкідливих модулів. За словами дослідників, така кількість плагінів є майже рекордною для APT-інструментарію. Серед модулів є бекдори, завантажувачі, інструменти для оркестровки, засоби для підключення до C&C-серверів, інструменти для аудіозапису, кейлогери, інструменти для запису екрану і відео з web-камер, плагіни для викрадення документів та ключів шифрування і навіть ексклюзивне рішення для індексації файлів на інфікованому комп’ютері.

Як саме TajMahal потрапляє в систему, яку атакують, дослідникам поки з’ясувати не вдалося. Однак вони змогли встановити, що спочатку на комп’ютер завантажується пакет Tokyo, що завантажує ПЗ другого етапу Yokohama.

Крім звичайних функцій, характерних для шпигунського ПЗ, TajMahal також озброєний низкою унікальних можливостей. Наприклад, оператор може запитувати файл, що зберігається на USB-накопичувачі, який раніше був підключений до комп’ютера. При наступному підключенні цього USB-накопичувача до зараженої системи TajMahal викраде цей файл.

До речі, масштабне дослідження встановлених Android-додатків виявило ризики безпеки і конфіденційності, яким піддаються користувачі мобільної операційної системи від Google.

Експерт Positive Technologies Сергій Тошин виявив критично небезпечну уразливість в актуальних версіях операційної системи Google Android – 7.0, 8.0, 9.0 – і її більш ранніх редакціях. Помилку виявлено в компоненті WebView.

Нагадаємо дослідники компанії Imperva з’ясували, що додаток “Google Фото” містить критичну вразливість, яка за наявності певних навичок у зловмисника дозволяла розкрити ідентифікаційні дані жертви та її близьких, в тому числі відомості про місця та час перебування.

Також Intel попереджав користувачів Windows 10 про небезпеку застарілих графічних драйверів, у яких присутні серйозні уразливості. Корпорація рекомендує: драйвери необхідно оновлювати, встановивши всі патчі, які Intel випустила за минулий рік.

Для усунення двох десятків уразливостей різного ступеня небезпеки, Intel випустила оновлення драйверів для графічних чипів. Уразливості давали змогу зловмисникам підвищувати привілеї в локальній системі, красти дані або виводити пристрій з ладу. Однак обов’язковою умовою є локальний доступ до комп’ютерної системи.