SAS

Ein zweiter Taj Mahal (zwischen Tokyo und Yokohama)

Die neue Spionageplattform TajMahal hat eine zentralasiatische diplomatische Einheit im Visier.

Pavel Shoshin
10 Apr 2019

Im Herbst 2018 haben unsere Experten einen Angriff auf eine zentralasiatische diplomatische Einheit entdeckt. Fakt ist: Diplomaten und ihre Informationssysteme wecken phasenweise das Interesse verschiedener politischer Kräfte; deshalb würde es an dieser Stelle auch keinen Beitrag geben, wäre da nicht das von den Angreifern eingesetze Tool: eine neue APT-Plattform namens TajMahal.

TajMahal ist ein hochwertiges und hochtechnologisches Spyware-Framework mit einer enorm großen Plug-in-Anzahl (unsere Experten konnten bisher 80 schädliche Module finden), die dank verschiedener Tools und Werkzeuge alle potenziell umsetzbaren Angriffsszenarien ermöglichen. Die Malware-Analysen unserer Experten zeigen, dass die Plattform TajMahal über mindestens fünf Jahre lang entwickelt und verwendet wurde; die Tatsache, dass es bislang nur ein bestätigtes Opfer gibt, deutet lediglich darauf hin, dass weitere Opfer erst identifiziert werden müssen.

Wozu ist TajMahal in der Lage?

Die APT-Plattform umfasst zwei Hauptpakete: Tokyo und Yokohama. Beide konnten auf allen infizierten Computern gefunden werden. Tokyo enthält die Haupt-Backdoor-Funktion und stellt in regelmäßigen Abständen eine Verbindung mit den Command-and-Control-(C&C)-Servern her und verbleibt auch nach dem Eindringen im Netzwerk, während Stufe Zwei des Angriffs – Yokohama – ausgeführt wird. Yokohama fungiert währenddessen als „Waffennutzlast“ der zweiten Phase und bildet ein vollausgestattetes Spionage-Framework, das ein Virtual File System (VFS) mit allen Plug-ins, Open Source- und proprietären Drittanbieter-Bibliotheken sowie Konfigurationsdateien enthält. TajMahal ist in der Lage:

Cookies zu stehlen;
Dokumente in der Drucker-Warteschlange zu stehlen,
Daten über das Opfer zu sammeln (darunter auch die Back-up-Liste mobiler Apple-Geräte);
VoIP-Anrufe aufzunehmen und Screenshots zu erstellen;
Den Diebstahl einer bestimmten Datei von einem zuvor gesehenen USB-Stick anzufordern und die Datei bei der nächsten Verbindung des USB-Sticks mit dem Computer zu stehlen.

Fazit

Die technische Komplexität der Spionageplattform TajMahal macht sie zu einem sehr besorgniserregenden Fund; auch die Zahl der bisher identifizierten Opfer wird höchstwahrscheinlich in nächster Zeit noch steigen. Doch es gibt Hoffnung, denn alle Kaspersky-Produkte erkennen und blockieren diese Bedrohung. Einen detaillierten Bericht über das APT-Framework finden Sie auf Securelist.

Da die Bedrohung mithilfe unserer automatisierten Heuristik-Technologien entdeckt werden konnte, ist es sinnvoll, bewährte Sicherheitslösungen wie Kaspersky Security for Business einzusetzen, um sich vor TajMahal und ähnlichen Bedrohungen angemessen zu schützen.

Das steckt hinter der Kampagne „SneakyPastes“ der Gaza-Cybergang

Die auf Cyberspionage spezialisierte Gaza-Cybergang greift in 39 Ländern Ziele mit Nahost-Bezug an.

Tipps

Ein Selfie mit deinem Personalausweis – ist das sicher?

Viele beliebte Online-Dienste fordern bei der Registrierung inzwischen ein Selfie mit deinem Personalausweis oder Reisepass. Wir untersuchen, ob das Aufnehmen solcher Fotos sicher ist (Spoiler: leider nicht) und wie sich die Risiken minimieren lassen.

KOSTENLOSE TOOLS

Ein zweiter Taj Mahal (zwischen Tokyo und Yokohama)

Wozu ist TajMahal in der Lage?

Fazit

FinSpy, ein leistungsstarkes Spionagetool

Tomiris-Backdoor

Das steckt hinter der Kampagne „SneakyPastes“ der Gaza-Cybergang

Tipps

Ein Selfie mit deinem Personalausweis – ist das sicher?

Heute schon abonniert? Überleben im Abo-Dschungel leichtgemacht

Fifty Shades of Sextortion

Wenn du einen Anmeldecode für ein fremdes Konto erhältst

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie