Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

TajMahal, une rare plate-forme de cyberespionnage forte de 80 modules malveillants, avec des fonctionnalités inédites et sans liens connus avec des menaces existantes

avril 2019 par Kaspersky Lab

Les chercheurs de Kaspersky Lab ont mis à jour une plate-forme de cyberespionnage techniquement très élaborée, active depuis au moins 2013 et sans liens apparents avec des menaces connues. Cette plate-forme, nommée TajMahal par les chercheurs, compte environ 80 modules malveillants et présente des fonctionnalités jusque-là inédites dans une menace persistante avancée (APT), par exemple la capacité de voler des informations dans les files d’attente d’imprimante et de capturer des fichiers, repérés précédemment sur une clé USB, lors de sa connexion suivante. Kaspersky Lab a observé jusqu’à présent une seule victime, une ambassade d’un pays d’Asie centrale, mais il est probable que d’autres ont été touchées.

Les chercheurs de Kaspersky Lab ont découvert TajMahal vers la fin de 2018. Il s’agit d’une plate-forme APT techniquement très élaborée, conçue pour des activités poussées de cyberespionnage. L’analyse du malware révèle que la plate-forme a été développée et utilisée depuis au moins cinq ans, l’échantillon le plus ancien datant d’avril 2013 et le plus récent de 2018. Le nom « TajMahal » est celui du fichier servant à exfiltrer les données volées.

Il semble que la plate-forme TajMahal comporte deux principaux packages, qui se nomment eux-mêmes « Tokyo » et « Yokohama ».
Tokyo est le plus petit des deux, comptant environ trois modules. Il contient les principales fonctionnalités du backdoor (la porte dérobée) et se connecte périodiquement aux serveurs de commande et de contrôle (C&C). Tokyo exploite PowerShell et demeure présent sur le réseau même après le passage à la phase 2 de l’intrusion.

Cette seconde phase est Yokohama, une plate-forme dotée d’armes complètes d’espionnage. Celle-ci comprend un système de fichiers virtuel (VFS) regroupant l’ensemble des modules, des bibliothèques tierces open source et propriétaires, ainsi que des fichiers de configuration. On y dénombre en tout près de 80 modules, notamment de chargement, d’orchestration, de communication C&C, d’enregistrement audio, d’enregistrement des frappes clavier, de copie d’écran et de piratage de webcam ou encore destinés au vol de documents et de clés cryptographiques.

TajMahal peut également dérober des cookies de navigateur, collecter la liste de sauvegarde des appareils mobiles Apple ou de voler les données d’un CD gravé par une victime ainsi que des documents dans la file d’attente d’une imprimante. Le malware peut aussi commander le vol d’un fichier particulier sur une clé USB vue précédemment, fichier qui sera dérobé lors de la prochaine insertion de celle-ci dans l’ordinateur.

Les systèmes ciblés répertoriés par Kaspersky Lab ont été infectés à la fois par Tokyo et Yokohama. Cela donne à penser que Tokyo constituait la première phase de l’infection, déployant les fonctionnalités complètes de Yokohama chez les victimes qui présentent un intérêt, puis restant sur place à des fins de sauvegarde.

Jusqu’à présent, une seule victime a été identifiée : une représentation diplomatique d’un pays d’Asie centrale, infectée en 2014. Les vecteurs de diffusion et d’infection de TajMahal sont pour l’instant inconnus. « La plate-forme TajMahal est une découverte très intéressante et très curieuse. Sa complexité technique ne fait aucun doute et elle présente des fonctionnalités encore jamais observées auparavant dans une menace avancée. Un certain nombre de questions se posent. Par exemple, il paraît hautement improbable qu’un tel investissement ait été engagé à l’encontre d’une seule victime. Cela laisse penser qu’il existe d’autres victimes non encore identifiées et/ou que des versions supplémentaires de ce malware sont en circulation. Les vecteurs de diffusion et d’infection de la menace sont eux aussi inconnus. D’une manière ou d’une autre, celle-ci a échappé aux radars pendant plus de cinq ans. Que ce soit dû à son inactivité relative ou à une autre raison, cela constitue un autre mystère. Aucun indice ne nous permet d’attribuer cette menace ni de la relier à des groupes malveillants connus », commente Alexey Shulmin, analyste principal en malware chez Kaspersky Lab.

Pour vous éviter d’être victime d’une attaque ciblée provenant d’un acteur malveillant connu ou non, les chercheurs de Kaspersky Lab vous recommandent les précautions suivantes :

• Utilisez des outils de sécurité de pointe tels que Kaspersky Anti Targeted Attack Platform (KATA) et assurez-vous que votre équipe de sécurité a accès aux plus récentes données de veille sur les cybermenaces.
• Veillez à mettre à jour régulièrement tous les logiciels employés dans votre entreprise, en particulier en installant chaque nouveau correctif de sécurité dès sa publication. Des produits de sécurité offrant des fonctions d’analyse des vulnérabilités et de gestion des correctifs peuvent vous aider à automatiser ces processus.
• Choisissez une solution de sécurité éprouvée, par exemple Kaspersky Endpoint Security, dotée de capacités de détection comportementale pour une protection efficace contre les menaces connues et inconnues, notamment les exploitations de vulnérabilités.
• Faites-en sorte que votre personnel connaisse les règles élémentaires de cyberhygiène, sachant que de nombreuses attaques ciblées commencent par des techniques d’ingénierie sociale (phishing ou autres).




Voir les articles précédents

    

Voir les articles suivants