מהי תוכנת הריגול של Tajmahal?

החוקרים גילו לאחרונה תוכנה הניתנת להתאמה ומודולרית בשם Tajmahal המורכבת ממגוון תכונות המיועדות לבצע משימות ריגול סייבר שונות. הרבגוניות והמורכבות של מסגרת ריגול זו הבהילו את מומחי וחוקרי האבטחה. גלה עוד מה מסוגל הטג’מהל במאמר הבא.


מהי תוכנת ריגול של Tajmahal?

מהי תוכנת ריגול של Tajmahal?

מהי תוכנת ריגול של Tajmahal?

חוקרי האבטחה של מעבדת קספרסקי גילו הייטק חדש ואיכותי תוכנות ריגול מסגרת המכונה TajMahal. הם הצליחו לגלות את האיום באמצעות הטכנולוגיות ההיוריסטיות האוטומטיות שלהם. תוכנות ריגול יכולות לטפח כל מיני התקפות באמצעות הטמעת כלים שונים. הוא מאופיין בבסיס קוד מתוחכם ביותר שלא נראה מעולם. מומחים גילו עד כה 80 מודולים זדוניים בתוכנות ריגול. מומחים אומרים כי תוכנות ריגול של TajMahal נמצאות במצב פעיל מלא כבר למעלה מחמש שנים.

למען האמת, מומחים רק גילו את המסגרת בשנה שעברה כאשר היא פנתה לסוכנות הדיפלומטית של מדינה מרכז אסיה. רק בגלל שרק אחד התגלה כקורבן הפיגוע אין פירושו שרבים אחרים לא הושפעו. הם כנראה לא מודעים לזה ושאר הקורבנות טרם אושרו. מומחי ביטחון מאמינים שתוקף מדינת לאום עומד מאחורי האיום המתמשך המתמשך הזה (APT). עם זאת, חוקרים ומומחי אבטחה לא כיוונו אצבעות לעבר קבוצות פריצה ידועות או שחקני איום עד כה.

מה עושה טג’מהל?

הסיבה שמסגרת זו הצליחה להישאר מתחת לרדאר במשך חמש שנים נובעת מבסיס הקוד שלה. בסיס מסוים זה אינו קשור לתוכנות זדוניות אחרות או APTs. כך עובדת תוכנת ריגול זו וממה מורכבת פלטפורמת APT זו. המסגרת פוגעת ומדביקה מערכות בעזרת שתי חבילות הנקראות טוקיו ויוקוהמה. טוקיו לא יוצאת מהמערכת גם לאחר תחילת השלב השני על מנת לשמש ערוץ תקשורת נוסף.

יוקוהמה, לעומת זאת, נחשב כמטען הנשק של אותו שלב שני. בעוד שטוקיו מכילה רק שלושה מודולים שאחד מהם פועל כפתח האחורי הראשוני, יוקוהמה היא תוכנת ריגול עומס רב-פונקציונלית, המורכבת מעשרות מודולים אחרים. ביוקוהמה משתמשים במספר רב של מודולים כדי לספק כל מיני פונקציות. יוקוהמה יוצרת מערכת קבצים וירטואלית שלמה עם תוספים, ספריות של צד שלישי וקבצי תצורה. הדלת האחורית הראשונית של טוקיו משתמשת במסגרת הפריצה של PowerShell. זה מאפשר לתוקפים להדביק יותר מערכות בקנה מידה רחב יותר, כמו גם להתחבר לשרת שליטה ובקרה. התחברות לאחת היא כיצד התוקפים מקבלים גישה לקבצים ומסמכים. 

פירוש על תוכנות הריגול

 אלכסיי שולמין, חוקר אבטחת קספרסקי אמר את הדברים על הפיגוע: “איכשהו, הוא נשאר מתחת לרדאר למעלה מחמש שנים. אם זה נובע מחוסר פעילות יחסית או משהו אחר, זו שאלה מסקרנת נוספת. זו תזכורת לקהילת אבטחת הרשת כי לעולם אין לנו באמת ראות מלאה לכל מה שקורה במרחב הסייבר. “

לדברי החוקרים, “מדובר בהתפתחות מורכבת ביותר. TajMahal נדיר ביותר, מלבד היותו מתקדם ומתוחכם מאוד. לתוכנות ריגול יש קוד חדש לחלוטין ונראה שזה לא קשור לתוכנות ריגול אחרות שפותחו בעבר “..

מידע נוסף על הטג’מהל

טג’מהל מסוגל לגנוב נתונים מתור המדפסת ומתקליטור שאותו שרף הקורבן, לפי קספרסק. כמו כן, הוא יכול לגנוב עוגיות מ- FireFox, RealNetworks, Internet Explorer ו- Netscape Navigator. הנה מה שתוכנת הריגול יכולה לעשות. תוכנת הריגול יכולה לסנן קבצים חשובים ממכשירי אחסון נשלפים. הדבר הראשון שהוא עושה זה לזהות קבצים בכונן הנשלף, כמו מקל USB. לאחר מכן, הוא מחלץ את הקובץ הממוקד בפעם הבאה שה- USB נמצא במערכת. למעשה, עם יוקוהמה, התוקפים מכניסים USB למחשב שנמצא בסיכון, סורקים את התוכן עליו ואז שולחים רישום לשרת הפקודה והבקרה שלו. זה המקום בו התוקפים יכולים לבחור את הקבצים שהם רוצים לחלץ ולהעביר את ידיהם מהמערכת הנגועה.

למרבה הצער, זו לא הדרך היחידה של תוכנות ריגול זה לגשת לקבצים. לטאג’מהל יש עוד כמה מודולים שיכולים להתפשר על קבצים בדרכים שונות אחרות. יתר על כן, TajMahal מסוגל ללכוד צילומי מסך של מצלמת האינטרנט ושולחן העבודה וכן להוציא פקודות. אפילו אם מישהו מוחק אותו מקובץ frontend או מערכי הרישום, הוא מופיע עם שם אחר מיד לאחר אתחול מחדש..

 תוכן ערכת הכלים

ערכת הכלים כולה מורכבת מדלתות אחוריות, מעמיסים, תזמרים, מתקני C2, מקליטי שמע, keyloggers, חוטפי מסך, גניבי מפתח, ואינדקס קבצים. להלן רשימה של יכולת ה- APT הזה:

  • גניבת עוגיות ותמונות דיסק אופטי שנוצרו על ידי הקורבן.
  • יירט מסמכים וקבצים מתור ההדפסה.
  • צילום מסך והקלטת שיחות VoIP.
  • איסוף נתונים על הקורבן (כולל רשימה של עותקי גיבוי של מכשיר ה- iOS שלהם).
  • יצירת אינדקס של קבצים אפילו כאלה שנמצאים בכוננים חיצוניים וגניבת קבצים מסוימים כאשר הכונן מזהה שוב.

מהי תוכנת ריגול של Tajmahal? מחשבות אחרונות

מה שהופך את הטאג’מהאל לכל כך מאיים ומדאיג זה המורכבות הטכנית שלו. אתה יודע איך אושר רק קורבן אחד, הגרוע ביותר עדיין מתרחש. מספר קורבנות הטג’מהל הולך וגדל. היזהרו מהטאג’מהאל והאנלוגים שלו. עליך לנקוט בכל אמצעי האבטחה הנחוצים כדי להימנע מהתקפת הטג’מהל. אנו ממליצים לך לקבל הכשרה בנושא תוכנות זדוניות, רוגלות, ערכות שורש, הכל. אתה אף פעם לא יודע מתי ייתכן שתזדקק למידע מסוג זה.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me