TajMahal, una plataforma de ciberespionaje previamente desconocida que cuenta con aproximadamente 80 módulos maliciosos diferentes y activa desde al menos 2013, fue descubierta por el equipo de investigación de Kaspersky Lab a fines de 2018.
A pesar de que estuvo activo durante los últimos seis años, «con la primera muestra fechada en abril de 2013 y la más reciente en agosto de 2018«, el marco de la amenaza persistente avanzada (APT por sus siglas en inglés) aún no está conectado a ningún grupo de piratas informáticos o hackers.
Como lo descubrió Kaspersky Lab, TajMahal es un marco de ataque de múltiples etapas que viene con dos paquetes maliciosos, que se denominan Tokio y Yokohama, y se cayeron uno tras otro en la computadora del objetivo.
El paquete más pequeño de Tokio implementado durante la primera etapa de infección viene con funcionalidad de puerta trasera y se usa para eliminar el paquete de espionaje de Yokohama con todas las funciones que incluye alrededor de «80 módulos en total, e incluyen cargadores, orquestadores, comunicadores de comando y control, grabadores de audio, ‘keyloggers’, capturadores de pantalla y webcam, ladrones de claves y criptografía«.
Todos los sistemas en los que los investigadores encontraron el marco TajMahal en la naturaleza fueron infectados tanto por Tokio como por Yokohama, lo que sugiere que ambos permanezcan funcionales en las máquinas comprometidas, lo que infiere «que Tokio se usó como primera infección, implementando el sistema completamente funcional. Paquete de Yokohama sobre víctimas interesantes, y luego se dejó para fines de copia de seguridad «.
Una vez que Yokohama se deja caer en la computadora de la víctima, se utiliza para buscar documentos interesantes y archivos multimedia, robar cookies y copias de seguridad, deslizar archivos de la cola de la impresora, CD grabados y dispositivos de almacenamiento USB.
Todos estos datos recopilados se envían posteriormente a un servidor de comando y control controlado por el grupo de piratería detrás del marco APT en forma de un archivo XML denominado TajMahal.
Debido a que una entidad diplomática de Asia central es la única víctima confirmada por TajMahal por parte de los investigadores, dado que el ataque tuvo lugar en 2014, a pesar de que el marco se usó durante al menos cinco años, Kaspersky Lab «teorizó que existen otros objetivos que tenían sus sistemas informáticos comprometidos utilizando esta plataforma de ciberespionaje«.
Algunas de las capacidades descubiertas por los investigadores de Kaspersky Lab al examinar el marco de trabajo de TajMahal son:
- Capaz de robar documentos enviados a la cola de la impresora.
- Los datos recopilados para el reconocimiento de víctimas incluyen la lista de respaldo para dispositivos móviles de Apple.
- Toma capturas de pantalla al grabar audio de aplicaciones VoiceIP.
- Roba imágenes de CD escritas.
- Capaz de robar archivos vistos previamente en unidades extraíbles una vez que estén disponibles nuevamente.
- Roba cookies de Internet Explorer, Netscape Navigator, FireFox y RealNetworks.
- Si se elimina del archivo de frontend o de los valores de registro relacionados, volverá a aparecer después de reiniciar con un nuevo nombre y tipo de inicio.
Más víctimas aún no identificadas
El analista principal de malware de Kaspersky Lab, Alexey Shulmin , dijo : «El marco de trabajo TajMahal es un hallazgo muy interesante e intrigante. La sofisticación técnica está fuera de toda duda y presenta una funcionalidad que no hemos visto antes en los APTs (actores avanzados de amenazas). Quedan algunas preguntas. Por ejemplo, parece muy improbable que se realice una inversión tan grande para una sola víctima«.
Además, «Esto sugiere que hay otras víctimas aún no identificadas, o versiones adicionales de este malware en la naturaleza, o posiblemente ambos. Los vectores de distribución e infección para la amenaza también siguen siendo desconocidos. De alguna manera, se ha mantenido bajo el radar para más de cinco años. Ya sea debido a una relativa inactividad o algo más, es otra pregunta interesante. No hay pistas de atribución ni enlaces que podamos encontrar en grupos de amenazas conocidos«.
A pocos días de que se diera a conocer la existencia de Tritón, el malware capaz de destruir al mundo, ahora nos enteramos de la presencia casi invisible de un nuevo paquete malicioso quizá más elaborado.