Geavanceerd cyberspionageplatform bleek jarenlang onopgemerkt

Een nieuw ontdekt en technisch geavanceerd cyberspionageplatform blijkt al sinds 2013 actief te zijn. Het platform bestaat uit 80 verschillende schadelijke modules, waarvan sommige nog nooit eerder zijn waargenomen bij dergelijke geavanceerde dreigingen. Ook lijken de makers geen banden te hebben met bekende dreigingsactoren.

Dit melden onderzoekers van Kaspersky Lab. Het cyberspionageplatform heeft de naam TajMahal gekregen. Tot nu toe is bekend dat een Aziatische ambassade slachtoffer is van dit nieuwe cyberspionageplatform. Kaspersky Lab sluit echter niet uit dat er meer gedupeerden zijn. Het TajMahal netwerk bestaat waarschijnlijk uit twee onderdelen genaamd ‘Tokyo’ en ‘Yokohama’.

Geavanceerde functionaliteiten

Het platform valt onder meer op door zijn functionaliteiten. Zo is TajMahal in staat informatie uit printerwachtrijen te stelen en eerder bekeken bestanden van een USB-stick te stelen als de stick opnieuw wordt aangesloten op de computer. Ook is TajMahal in staat browsercookies te verzamelen, de hand te leggen op backup-lijsten van mobiele Apple-apparatuur, data van een gebrande cd te stelen en documenten uit een printerwachtrij te halen. Het TajMahal platform kan bovendien eerder bekeken bestanden van een USB-stick stelen zodra de stick opnieuw in de computer wordt gedaan.

Uit malware-analyse van de Kaspersky Lab onderzoekers blijkt dat het platform de afgelopen vijf jaar is gebruikt. Het eerste geval dateert van april 2013. De meest recente cyberaanval was in augustus 2018. Het platform is genoemd naar het bestand dat is gebruikt om de gestolen data te exfiltreren.

Tokyo en Yokohama

De kleinste van de twee onderdelen van het nieuw ontdekte cyberspionageplatform is Tokyo, dat ongeveer drie modules bevat. Dit onderdeel voorziet in de belangrijkste achterdeurfunctionaliteit en maakt periodiek verbinding met command & control servers. Tokyo maakt gebruik van PowerShell en blijft in het netwerk aanwezig, ook als de operatie al volledig actief is.

Fase twee is het Yokohama-pakket: een volledig bewapend spionageraamwerk. Yokohama bevat een virtueel bestandssysteem (Virtual File System, VFS) met alle plug-ins, open source-bibliotheken, databanken van derde partijen en configuratiebestanden. In totaal beschikt Yokohama over zo’n 80 modules, waaronder loaders, orchestrators, command and control communicators, audiorecorders, keyloggers, scherm- en ‘webcam-grabbers’, documenten en modules die cryptografiesleutels stelen.

Aangevallen systemen die door Kaspersky Lab zijn geïdentificeerd zijn besmet met zowel Tokyo als Yokohama. Op basis hiervan vermoedt het beveiligingsbedrijf dat Tokyo is gebruikt voor de eerste fase van de infectie, waarna het volledig functionele Yokohama-onderdeel is ingezet bij interessante slachtoffers en uiteindelijk is achtergelaten voor backupdoeleinden.

'Ongekend'

"Het verfijnde technische vernuft en de nooit eerder vertoonde functionaliteit van dit TajMahal cyberspionageplatform zijn ongekend. Daarom lijkt het ons zeer onwaarschijnlijk dat de enorme investering die hiermee gepaard gaat, voor één slachtoffer is ingezet. Het is dus zeer aannemelijk dat er sprake is van meerdere slachtoffers of dat er verschillende versies van de malware in omloop zijn. Wie weet zijn beide situaties aan de orde. Op de een of andere manier is dit platform erin geslaagd meer dan vijf jaar onder de radar te blijven. We onderzoeken nu of dat komt omdat het cyberspionagenetwerk nog niet op grote schaal actief is geweest of dat er andere zaken spelen. Tot nu toe hebben we geen sporen kunnen vinden naar bestaande APT groepen", vertelt Jornt van der Wiel, cybersecurity-expert bij Kaspersky Lab.

Meer informatie over TajMahal is vinden op Securelist.