Analistas de Kaspersky Lab han descubierto una infraestructura técnicamente sofisticada de ciberespionaje que ha estado activa desde al menos 2013 y que no aparenta tener conexión alguna con otro actor de amenazas conocido. La infraestructura, denominada TajMahal por los analistas, cuenta con cerca de 80 elementos maliciosos e incluye funcionalidades nunca antes vistas en amenazas persistentes avanzadas (APT, por sus siglas en inglés), como la habilidad de robar información de la cola de trabajos de impresoras y de dispositivos USB. Hasta ahora, Kaspersky Lab ha identificado a una embajada situada en Asia Central como la única víctima, pero es muy probable que otras entidades hayan sido afectadas.
Los especialistas da Kaspersky Lab descubrieron a TajMahal a finales de 2018. Esta es una infraestructura de APT técnicamente sofisticada, diseñada para una extensa operación de ciberespionage. El análisis de malware muestra que la plataforma ha sido desarrollada y utilizada durante, al menos, los últimos cinco años, con la muestra más antigua con fecha de 2013 y la más reciente de agosto de 2018. El nombre TajMahal proviene del alias del archivo utilizado para extraer los datos robados. Se estima que el marco de trabajo de TajMahal incluye dos paquetes principales, autodenominados “Tokyo” y “Yokohama”.
Tokyo es el más pequeño de los dos, con alrededor de tres módulos. Contiene la funcionalidad de puerta trasera y se conecta periódicamente con los servidores de comando y control. Tokyo utiliza PowerShell y permanece en la red incluso después de que la intrusión haya pasado por la segunda etapa.
La segunda etapa pertenece al paquete de Yokohama: una infraestructura de espionaje completa. Yokohama incluye un sistema virtual de archivos (VFS, por sus siglas en inglés) con todos los plugins, bibliotecas de código abierto y propietario de terceros, y archivos de configuración. En total cuenta con cerca de 80 módulos que incluyen cargadores, orquestadores, gestores de conexión a servidores de comando y control, así como complementos para grabación de audio, captura de pulsaciones del teclado, grabación de pantalla y cámara web, al igual que herramientas para el robo de documentos y claves criptográficas.
TajMahal también es capaz de robar las cookies del navegador, recopilar la lista de copias de seguridad para dispositivos móviles de Apple, robar datos de un CD grabado por la víctima, y los documentos que están en cola en una impresora. Además, puede solicitar el robo de un archivo en particular, visto anteriormente, de una memoria USB, el cuál será extraído la próxima vez que el USB se conecte al computador.
Los sistemas atacados encontrados por Kaspersky Lab fueron infectados por ambos, Tokyo y Yokohama. Esto sugiere que Tokyo fue la primera etapa de infección, implementando el paquete multifuncional de Yokohama en los objetivos de interés, dejando a Tokyo residente como copia de seguridad.
Hasta ahora, solo se ha detectado a una víctima- una entidad diplomática extranjera con base en un país de Asia Central, infectada en 2014. Hasta ahora, los vectores de distribución e infección de TajMahal permanecen desconocidos.
“La estructura TajMahal es un descubrimiento muy interesante y preocupante. Su sofisticación técnica va más allá de cualquier duda, y cuenta con unas funcionalidades que hasta ahora no habíamos visto en ningún otro actor de amenazas avanzadas. Pero todavía existen varios interrogantes. Por ejemplo, parece algo muy improbable que se haya podido realizar una gran inversión solo para infectar a una víctima. Que haya más víctimas parece algo lógico, pero todavía no las hemos encontrado. Quizás también haya otras versiones adicionales de este malware sin identificar. Y por qué no, ambas posibilidades pueden darse simultáneamente. La manera de distribución e infección sigue siendo desconocida. Es preocupante que, durante cinco años no hayamos sabido nada, bien quizás por inactividad bien por otro motivo que desconocemos. Tampoco tenemos ninguna pista sobre su posible autoría ni hemos encontrado relación con grupos de amenazas conocidos”, dijo Alexey Shulmin, analista jefe de malware en Kaspersky Lab.
Todos los productos de Kaspersky Lab detectan y bloquean esta amenaza.
Para evitar convertirse en víctima de algún APT creado por actores de amenaza conocidos o desconocidos, los especialistas de Kaspersky Lab recomiendan implementar las siguientes medidas:
- Utilice herramientas de seguridad avanzadas como la plataforma Kaspersky Anti Targeted Attack y asegúrese de que su equipo de seguridad tenga acceso a los reportes de inteligencia de ciberamenazas más recientes.
- Actualice regularmente todos los programas utilizados en su organización, particularmente cuando se emita un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar este proceso.
- Elija una solución de seguridad probada como Kaspersky Endpoint Security, que esté equipada con capacidades de detección basadas en el comportamiento para una protección efectiva contra amenazas conocidas y desconocidas, incluidas las vulnerabilidades.
- Garantice que su equipo entienda las reglas básicas de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otra técnica de ingeniería social.
El reporte completo sobre la infraestructura del APT TajMahal está disponible en Securelist.