A finales de 2018, los especialistas de Kaspersky Lab descubrieron TajMahal, una infraestructuras de amenazas persistentes avanzadas (APT, por sus siglas en inglés), técnicamente sofisticada, diseñada para una extensa operación de ciberespionaje.
La infraestructura, denominada TajMahal por los analistas, cuenta con cerca de 80 elementos maliciosos e incluye funcionalidades no conocidas, como la habilidad de robar información de la cola de trabajos de impresoras y de dispositivos USB.
Hasta ahora, Kaspersky Lab ha identificado a una embajada situada en Asia Central como la única víctima, pero es muy probable que otras entidades hayan sido afectadas.
El análisis de malware muestra que la plataforma ha sido desarrollada y utilizada durante, al menos, los últimos cinco años, con la muestra más antigua con fecha de 2013 y la más reciente de agosto de 2018.
Tokyo y Yokohama
El nombre TajMahal proviene del alias del archivo utilizado para extraer los datos robados. Se estima que el marco de trabajo de TajMahal incluye dos paquetes principales, autodenominados Tokyo y Yokohama.
Tokyo es el más pequeño de los dos, con alrededor de tres módulos. Contiene la funcionalidad de puerta trasera y se conecta periódicamente con los servidores de comando y control. Tokyo utiliza PowerShell y permanece en la red incluso después de que la intrusión haya pasado por la segunda etapa.
La segunda etapa pertenece al paquete de Yokohama: una infraestructura de espionaje completa. Yokohama incluye un sistema virtual de archivos (VFS, por sus siglas en inglés) con todos los plugins, bibliotecas de código abierto y propietario de terceros, y archivos de configuración.
En total cuenta con cerca de 80 módulos que incluyen cargadores, orquestadores, gestores de conexión a servidores de comando y control, así como complementos para grabación de audio, captura de pulsaciones del teclado, grabación de pantalla y cámara web, al igual que herramientas para el robo de documentos y claves criptográficas.
TajMahal también es capaz de robar las cookies del navegador, recopilar la lista de copias de seguridad para dispositivos móviles de Apple, robar datos de un CD grabado, y los documentos que están en cola en una impresora. Además, puede solicitar el robo de un archivo en particular, visto anteriormente, de una memoria USB, el cuál será extraído la próxima vez que la USB se conecte al computador.
Los sistemas atacados encontrados por Kaspersky Lab fueron infectados por ambos, Tokyo y Yokohama. Esto sugiere que Tokyo fue la primera etapa de infección, implementando el paquete multifuncional de Yokohama en los objetivos de interés, dejando a Tokyo residente como copia de seguridad. Hasta ahora, sólo se ha detectado a una víctima- una entidad diplomática extranjera con base en un país de Asia Central, infectada en 2014.
“La estructura TajMahal es un descubrimiento muy interesante y preocupante. Por su sofisticada técnica, además cuenta con unas funcionalidades que hasta ahora no habíamos visto en ningún otro actor de amenazas avanzadas”, dijo Alexey Shulmin, analista jefe de malware en Kaspersky Lab.
Existen varios interrogantes. Por ejemplo, parece algo muy improbable que se haya podido realizar una gran inversión sólo para infectar a una víctima. Que haya más víctimas parece algo lógico, pero todavía no se han encontrado. Quizás también haya otras versiones adicionales de este malware sin identificar. Y por qué no, ambas posibilidades pueden darse simultáneamente.
“La manera de distribución e infección sigue siendo desconocida. Es preocupante que, durante cinco años no hayamos sabido nada, bien quizás por inactividad bien por otro motivo que desconocemos. Tampoco tenemos ninguna pista sobre su posible autoría ni hemos encontrado relación con grupos de amenazas conocidos”, agregó Shulmin.
Para evitar convertirse en víctima de algún APT creado por actores de amenaza conocidos o desconocidos, los especialistas de Kaspersky Lab recomiendan implementar las siguientes medidas:
- Utilice herramientas de seguridad avanzadas y asegúrese de que su equipo de seguridad tenga acceso a los reportes de inteligencia de ciberamenazas más recientes.
- Actualice regularmente todos los programas utilizados en su organización, particularmente cuando se emita un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches pueden ayudar a automatizar este proceso.
- Elija una solución de seguridad probada, que esté equipada con capacidades de detección basadas en el comportamiento para una protección efectiva contra amenazas conocidas y desconocidas, incluidas las vulnerabilidades.
- Garantice que su equipo entienda las reglas básicas de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otra técnica de ingeniería social.
