Kaspersky Lab ontdekt compleet nieuw cyberspionageplatform met nooit eerder vertoonde functionaliteit

Utrecht, 10 april 2019 – Kaspersky Lab onderzoekers hebben een compleet nieuw technisch geavanceerd cyberspionageplatform ontdekt dat al sinds 2013 actief is en geen banden lijkt te hebben met bekende dreigingsactoren. Het netwerk dat de naam TajMahal heeft gekregen, bestaat uit zo´n 80 schadelijke modules. Bovendien beschikt dit nieuwe cyberspionageplatform over functionaliteit die nooit eerder is waargenomen bij geavanceerde dreigingen. Zo is TajMahal in staat informatie uit printerwachtrijen te stelen en eerder bekeken bestanden van een USB-stick te stelen als de stick opnieuw wordt aangesloten op de computer. Tot nu toe is bekend dat een Aziatische ambassade slachtoffer is van dit nieuwe cyberspionageplatform. Wellicht zijn er meer gedupeerden die vooralsnog niet bekend zijn. Het TajMahal netwerk bestaat waarschijnlijk uit twee onderdelen genaamd ‘Tokyo’ en ‘Yokohama’.

Dit compleet nieuwe cyberspionageplatform is een technisch zeer geavanceerd APT-netwerk ontwikkeld voor diepgaande cyberspionage. Zo is TajMahal in staat browsercookies te verzamelen, de hand te leggen op backup-lijsten van mobiele Apple-apparatuur, data van een gebrande cd te stelen en documenten uit een printerwachtrij te halen. Het TajMahal platform kan bovendien eerder bekeken bestanden van een USB-stick stelen zodra de stick opnieuw in de computer wordt gedaan. Uit malware-analyse van de Kaspersky Lab onderzoekers blijkt dat het platform de afgelopen vijf jaar is gebruikt. Het eerste geval dateert van april 2013. De meest recente cyberaanval was in augustus 2018. Het platform is genoemd naar het bestand dat is gebruikt om de gestolen data te exfiltreren.

De kleinste van de twee onderdelen van het nieuw ontdekte cyberspionageplatform is Tokyo, dat ongeveer drie modules bevat. Dit onderdeel voorziet in de belangrijkste achterdeurfunctionaliteit en maakt periodiek verbinding met command & control servers. Tokyo maakt gebruik van PowerShell en blijft in het netwerk aanwezig, ook als de operatie al volledig actief is. Fase twee is het Yokohama-pakket: een volledig bewapend spionageraamwerk. Yokohama bevat een virtueel bestandssysteem (Virtual File System, VFS) met alle plug-ins, open source-bibliotheken, databanken van derde partijen en configuratiebestanden. In totaal beschikt Yokohama over zo’n 80 modules, waaronder loaders, orchestrators, command and control communicators, audiorecorders, keyloggers, scherm- en ‘webcam-grabbers’, documenten en modules die cryptografiesleutels stelen.

De door Kaspersky Lab geïdentificeerde aangevallen systemen zijn besmet met Tokyo én Yokohama. Dit wekt de indruk dat Tokyo is gebruikt voor de eerste fase van de infectie, waarna het volledig functionele Yokohama-onderdeel is ingezet bij interessante slachtoffers en uiteindelijk is achtergelaten voor backupdoeleinden.

"Het verfijnde technische vernuft en de nooit eerder vertoonde functionaliteit van dit TajMahal cyberspionageplatform zijn ongekend. Daarom lijkt het ons zeer onwaarschijnlijk dat de enorme investering die hiermee gepaard gaat, voor één slachtoffer is ingezet. Het is dus zeer aannemelijk dat er sprake is van meerdere slachtoffers of dat er verschillende versies van de malware in omloop zijn. Wie weet zijn beide situaties aan de orde. Op de een of andere manier is dit platform erin geslaagd meer dan vijf jaar onder de radar te blijven. We onderzoeken nu of dat komt omdat het cyberspionagenetwerk nog niet op grote schaal actief is geweest of dat er andere zaken spelen. Tot nu toe hebben we geen sporen kunnen vinden naar bestaande APT groepen,” vertelt Jornt van der Wiel, cybersecurity-expert bij Kaspersky Lab.

Meer informatie over TajMahal is vinden op Securelist.

	Sophos neemt Braintrace over om het Adaptive Cybersecurity Ecosystem een boost te geven met Braintrace's Network Detection and Response (NDR)-technologie

	Zscaler-onderzoek bevestigt: IoT-apparaten zijn een belangrijke bron van security-inbreuken en versterken de noodzaak voor Zero Trust

	Challenge the Cyber helpt jonge cybersecuritytalenten uit te blinken

	BlackBerry onthult immense cyberspionagegroep

	Spionage Chinezen schrikt Nederlandse consument niet af

	Russischtalige hackergroepen GreyEnergy en Sofacy maken gebruik van dezelfde infrastructuur

vrijdag 23 juli 2021
	Olympische Spelen 2021: 4 tips om alles perfect online mee te krijgen

	Consortium geleid door Unisys met Uni Systems en Wavestone verbetert gegevensbeveiliging en versterkt slimme grenscontrole voor de EU

	Het Verenigd Koninkrijk is ook ná de Brexit belangrijkste handelsland voor driekwart van de Nederlandse bedrijven

	People First Group wordt nieuwe partner van Team Para Atletiek

	Software-omzet van IFS groeit met 20% in het eerste halfjaar dankzij toename cloud-adoptie

	Veeam rapporteert 26% groei in Q2 2021

	Doxing en dating: persoonlijke gegevens van elke 6de persoon op straat bij daten
22 juli 2021
	Spryng & Cryptshare genomineerd voor Computable Awards 2021

	Arrow Electronics sluit distributieovereenkomst met Hitachi Vantara in Nederland

	Olympische skaters en Incentro gaan voor goud

	Sophos neemt Braintrace over om het Adaptive Cybersecurity Ecosystem een boost te geven met Braintrace's Network Detection and Response (NDR)-technologie

	Dell UltraSharp Webcam is 's werelds meest intelligente 4K-webcam in zijn klasse

	Veeam voor vijfde jaar op rij leider in het 2021 Gartner Magic Quadrant voor Enterprise Backup and Recovery Software Solutions

	Doxing en dating: persoonlijke gegevens van elke 6de persoon op straat bij daten

	Een op de vier werknemers heeft een oproep gemist door te doen alsof toestellen aan het updaten zijn

	Kaspersky ontdekt nieuwe banking Trojan