טאג' מהאל: נחשפה פלטפורמת ריגול נדירה מסוגה עם יכולות ייחודיות

חוקרי מעבדת קספרסקי חשפו סביבת ריגול סייבר בעלת רמת תחכום טכנולוגית גבוהה, הפעילה לפחות מאז שנת 2013, ונראה כי אינה קשורה לאף גורם איום מוכר. הסביבה, שהחוקרים כינו טאג' מהאל, מכילה כ-80 מודולים זדוניים, וכוללת יכולות ריגול שלא נראו בעבר באיומים מתקדמים – כגון היכולת לגנוב מידע מתור להדפסה, ולכידת קבצים שנצפו באחסון USB בהתחברות הבאה שלו. מעבדת קספרסקי זיהתה עד עתה קורבן אחד, שגרירות זרה במרכז אסיה, אבל סביר להניח שיש נוספים.

The TajMahal_Attackprocess

טאג' מהאל היא סביבת הפעלה של איום מתמשך (APT) שתוכננה לצורך ביצוע קמפיינים נרחבים של ריגול סייבר. חוקרי מעבדת קספרסקי חשפו את טאג' מהאל בסוף שנת 2018 וניתוח הקוד הזדוני מראה כי הפלטפורמה פותחה והופעלה בחמש השנים האחרונות, לפחות, כשהדוגמית המוקדמת ביותר מתוארכת לאפריל 2013, והאחרונה ביותר לאוגוסט 2018. השם טאג' מהאל מגיע מאחד משמות הקבצים שמשמשים את המערכת בחילוץ נתונים.

 

החוקרים חילקו את המערכת לשתי חבילות מרכזיות, הראשונה נקראת טוקיו והשני יוקוהאמה. טוקיו היא הקטנה מהשתיים ומכילה שלושה מודולים. היא מכילה את יכולת ה"דלת האחורית" המרכזית של המערכת, ואת התקשורת עם שרתי הפיקוד והשליטה. טוקיו ממנפת את ה- PowerShell והיא נותרת ברשת הפגועה גם אחרי שהחדירה עברה לשלב השני שלה.

 

יוקוהאמה מהווה את השלב השני: סביבת ריגול בחימוש מלא. יוקוהאמה מכילה מערכת קבצים וירטואלית (VFS) עם כל הפלאגינים, ספריות קוד פתוח וספריות ייחודיות וקבצי הגדרות. ישנם בסך הכל כמעט 80 מודולים, והם כוללים טוענים (loaders), אורקסטרטורים (orchastratos), תקשורת פיקוד ושליטה, מקליטי אודיו, תיעוד הקלדות, לכידת מסך ומצלמת רשת, וגונבי מסמכים ומפתחות הצפנה.

 

טאג' מהאל גם מסוגלת לגנוב "עוגיות" דפדפן, לאסוף את רשימת הגיבוי של מכשירי אפל ניידים, לגנוב נתונים מכונןCD  שנצרב על ידי הקורבן, וכן מסמכים מתור ההדפסה. היא יכולה גם לתת הוראה לגניבה של קובץ מסוים מ-USB שנעשה בו שימוש בעבר, והקובץ ייגנב כאשר ה-USB יתחבר פעם נוספת למחשב.

 

המערכות שנפגעו ונבחנו על ידי מעבדת קספרסקי הודבקו על ידי טוקיו ויוקוהאמה. הדבר מצביע על כך שחבילת טוקיו הייתה בשימוש כשלב ראשון של הדבקה, כאשר היא מפעילה את  חבילת יוקוהאמה אצל קורבנות בעלי עניין, ואז נותרת לצורך גיבוי. עד עתה זוהה קורבן אחד בלבד, גורם דיפלומטי זר במרכז אסיה, שהודבק ב- 2014. אפיקי ההפצה וההדבקה של טאג' מהאל עדיין אינם ידועים.

 

"החשיפה של טאג' מהאל היא דבר מרתק. התחכום הטכני הוא ללא ספק הגבוה ביותר שראינו אצל גורם איום מתקדם. מספר שאלות נותרו פתוחות. לדוגמא, נראה לא סביר כי השקעה עצומה כזו תיעשה עבור קורבן אחד בלבד. לכן, או שישנם עדיין קורבנות נוספים שלא התגלו, או שגרסאות נוספות של הקוד הזדוני הזה פעילות בשטח, או שתי האפשרויות יחדיו. אפיקי ההפצה וההדבקה של האיום נותרים לא ידועים. בדרך כלשהי האיום נותר מתחת לראדר במשך יותר מ- 5 שנים. אם זאת תוצאה של היעדר יחסי בפעילות או שמדובר במשהו אחר, זו שאלה מרתקת. בנוסף, אין כל רמז המאפשר ליחס את האיום לקבוצות האיום המוכרות לנו", אומר אלכסי שומלין, ראש ניתוח קוד זדוני, מעבדת קספרסקי.

 

לדוח המלא –Securelist ; לבלוג קספרסקי – כאן

דילוג לתוכן