Mi a Tajmahal spyware?

A kutatók a közelmúltban fedezték fel a Tajmahal nevű, adaptálható és moduláris szoftvert, amely különféle funkciókból áll, amelyek különféle számítógépes kémkedési feladatok elvégzésére szolgálnak. A spyware keret sokoldalúsága és összetettsége riasztotta a biztonsági szakértőket és kutatókat. További tudnivalók a következő cikkben találhatók meg a Tajmahal képességeiről.


Mi a Tajmahal spyware?

Mi a Tajmahal spyware??

Mi a Tajmahal spyware??

A Kaspersky Lab biztonsági kutatói új, jó minőségű, csúcstechnikát fedeztek fel spyware keret, az úgynevezett TajMahal. Az automatikus heurisztikus technológiájuk segítségével képesek voltak felfedezni a veszélyt. A kémprogramok képesek mindenféle támadást elősegíteni különféle eszközök megvalósításával. Jellemzője egy nagyon kifinomult és soha nem látott kódbázis. A szakértők eddig 80 rosszindulatú modult fedeztek fel a kémprogramban. A szakértők szerint a TajMahal kémprogramok már több mint öt éve teljes aktív módban vannak.

Valójában a szakértők csak a tavalyi évben fedezték fel a keretet, amikor egy közép-ázsiai ország diplomáciai ügynökségére irányították. Csak azért, mert csak egy vált a támadás áldozatává, még nem jelenti azt, hogy sokan mások érintetlenül maradtak. Valószínűleg csak nem tudnak róla, és az áldozatok többi részét még meg kell erősíteni. A biztonsági szakértők úgy vélik, hogy egy nemzetállami támadó mögött áll az előrehaladott tartós fenyegetés (APT). A kutatók és a biztonsági szakértők azonban eddig nem mutattak ujjakat egyetlen ismert hackelási csoportra sem fenyegető szereplőre.

Mit csinál Tajmahal??

Ennek a keretnek az az oka, hogy miért sikerült öt évig a radar alatt maradni, a kód alapja. Ez az adott bázis nincs kapcsolatban más rosszindulatú programokkal vagy APT-kkel. Így működik ez a kémprogram, és mire épül ez az APT-platform. A keret károsítja és megfertőzi a rendszereket két Tokió és Yokohama nevű csomag használatával. Tokió még a második szakasz kezdete után sem lép ki a rendszerből, hogy kiegészítő kommunikációs csatornaként szolgáljon.

A Yokohama viszont e második szakasz fegyver hasznos teherének számít. Míg Tokió mindössze három modult tartalmaz – amelyek közül az egyik a kezdeti hátsó ajtóként működik, a Yokohama egy multifunkcionális hasznos teher-spyware, amely több tucat más modulból áll. Számos modult használnak Yokohamában mindenféle funkció biztosításához. A Yokohama teljes virtuális fájlrendszert hoz létre pluginekkel, harmadik fél könyvtáraival és konfigurációs fájljaival. Tokió kezdeti hátsó ajtó a PowerShell hackerek keretrendszerét használja. Ez lehetővé teszi a támadók számára, hogy több rendszert megfertőzzenek szélesebb skálán, valamint csatlakozzanak egy parancs-irányító szerverhez. Az egyikhez kapcsolódva a támadók hozzáférhetnek fájlokhoz és dokumentumokhoz. 

Kommentár a kémprogramokra

 Alexey Shulminnek, a Kaspersky biztonsági kutatójának ezt kellett mondaniuk a támadásról: „Valahogy több mint öt éve maradt a radar alatt. Érdekes kérdés, hogy ez a relatív tétlenség vagy valami más miatt van-e. Ez egy emlékeztető a kiberbiztonsági közösség számára, hogy soha nem láthatjuk teljesen a mindent, ami a kibertérben zajlik. ”

A kutatók szerint: „Ez egy nagyon összetett fejlesztés. A TajMahal rendkívül ritka, emellett nagyon fejlett és kifinomult. A kémprogramoknak teljesen új kódja van, és úgy tűnik, hogy nem kapcsolódik valamilyen más, a múltban kifejlesztett kémprogramhoz. ”.

További információ a Tajmahalról

Kaszír szerint Tajmahal képes adatok ellopására a nyomtató sorból és egy CD-ről, amelyet az áldozat égetett. Ezenkívül sütéseket is ellophat a FireFox, a RealNetworks, az Internet Explorer és a Netscape Navigator számára. Íme, amit a kémprogramok megtehetnek. A spyware kiszűrheti a fontos fájlokat a cserélhető tárolóeszközökről. Az első dolog, hogy azonosítja a cserélhető meghajtón lévő fájlokat, például egy USB-meghajtót. Ezután kivonja a megcélzott fájlt, amikor az USB legközelebb a rendszerbe kerül. Valójában a Yokohama-val a támadók behelyezik az USB-t egy veszélyeztetett számítógépbe, beolvasják a rajta levő tartalmat, és elküldnek egy listát a parancs- és vezérlőkiszolgálóra. A támadók itt választhatják meg azokat a fájlokat, amelyeket kivonni szeretnének, és megszerezni a kezüket a fertőzött rendszerből.

Sajnos ez a kémprogramok nem csak férnek hozzá a fájlokhoz. A Tajmahalnak van néhány további modulja, amelyek más módon kompromittálhatják a fájlokat. Ezenkívül a TajMahal képes a webkamera és az asztal képernyőképeinek rögzítésére, valamint parancsok kiadására. Még akkor is, ha valaki törli azt a kezelőfájlból vagy a rendszerleíró adatbázisból, az újraindítás után azonnal megjelenik egy másik név..

 Az eszközkészlet tartalma

A teljes szerszámkészlet hátsó ajtókból, rakodókból, zenekarokból, C2 kommunikátorokból, hangrögzítőkből, keyloggerekből, képernyőfogókból, kulcstartókból és fájlindexelőből áll. Íme egy lista arról, hogy mire képes ez az APT:

  • Az áldozatok által készített sütik és optikai lemezképek lopása.
  • Dokumentumok és fájlok elfogása a nyomtatási sorból.
  • Képernyőképek készítése és VoIP hívások rögzítése.
  • Adatok gyűjtése az áldozatokról (ideértve az iOS-eszközük biztonsági másolatainak listáját).
  • A külső meghajtón lévő fájlok indexelése és bizonyos fájlok ellopása, amikor a meghajtó újra felismerésre kerül.

Mi a Tajmahal spyware? – Végső gondolatok

A TajMahal ilyen félelmetes és aggasztóvá teszi a műszaki összetettségét. Tudod, hogy csak egy áldozatot sikerült megerősíteni, a legrosszabb még nem várható. A tadžhalál áldozatok száma növekedni fog. Óvakodj a TajMahal-tól és annak analógjaitól. Meg kell tennie az összes szükséges biztonsági intézkedést a Tajmahal támadás elkerülése érdekében. Javasoljuk, hogy tájékozódjon a rosszindulatú programokról és a kémprogramokról, rootkitek, minden. Soha nem tudhatod, mikor lehet szüksége ilyen információra.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me