TajMahal, une plate-forme de cyber-espionnage très avancée

Par:
fredericmazue

jeu, 11/04/2019 - 17:07

Les chercheurs de Kaspersky Lab ont mis au jour une plate-forme de cyberespionnage techniquement très élaborée, active depuis au moins 2013 et sans liens apparents avec des menaces connues. Cette plate-forme, nommée TajMahal par les chercheurs, compte environ 80 modules malveillants et présente des fonctionnalités jusque-là inédites dans une menace persistante avancée (APT), par exemple la capacité de voler des informations dans les files d’attente d’imprimante et de capturer des fichiers, repérés précédemment sur une clé USB, lors de sa connexion suivante. Kaspersky Lab a observé jusqu’à présent une seule victime, une ambassade d’un pays d’Asie centrale, mais il est probable que cette victime ne noit pas unique.

L’analyse du malware révèle que la plate-forme a été développée et utilisée depuis au moins cinq ans, l’échantillon le plus ancien datant d’avril 2013 et le plus récent de 2018. Le nom « TajMahal » est celui du fichier servant à exfiltrer les données volées.

Il semble que la plate-forme TajMahal comporte deux principaux packages, qui se nomment eux-mêmes « Tokyo » et « Yokohama ».

Tokyo est le plus petit des deux, comptant environ trois modules. Il contient les principales fonctionnalités du backdoor (la porte dérobée) et se connecte périodiquement aux serveurs de commande et de contrôle (C&C). Tokyo exploite PowerShell et demeure présent sur le réseau même après le passage à la phase 2 de l’intrusion.

Cette seconde phase est Yokohama, une plate-forme dotée d’armes complètes d’espionnage. Celle-ci comprend un système de fichiers virtuel (VFS) regroupant l’ensemble des modules, des bibliothèques tierces open source et propriétaires, ainsi que des fichiers de configuration. On y dénombre en tout près de 80 modules, notamment de chargement, d’orchestration, de communication C&C, d’enregistrement audio, d’enregistrement des frappes clavier, de copie d’écran et de piratage de webcam ou encore destinés au vol de documents et de clés cryptographiques.

Plus d'informations techniques sur le blog de SecureList.