Kasperky alerta para “Taj Mahal”, infraestrutura de ciberespionagem empresarial

Uma infraestrutura de Ataques Persistentes Avançados (“APT”, na sigla em inglês) foi descoberta pela empresa de segurança Kaspersky, ao final de 2018. De acordo com análise feita pela companhia, essa estrutura, apelidada de “Taj Mahal”, está na ativa há pelos menos cinco anos, com foco em extensas manobras de ciberespionagem corporativa.

Um APT consiste de uma série de ataques que usam táticas inovadoras de invasão, a fim de instalar malwares e outros artifícios que visam o acesso e roubo de informações sigilosas de grandes empresas, por longos períodos de tempo. No caso do Taj Mahal, até o momento foi identificada uma vítima — uma embaixada internacional localizada em país asiático, que não foi nomeada por motivo de confidencialidade.

A Kaspersky diz que o Taj Mahal possui dois pacotes principais: “Tokyo” e “Yokohama”. O primeiro é o menor dos dois, conta com três módulos que contém a funcionalidade principal de backdoor e se conecta periodicamente com os servidores de comando e controle. “Tokyo” aproveita o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois.

O segundo nível é o pacote “Yokohama”, uma infraestrutura cheia de ferramentas de espionagem que contém um Sistema Virtual de Arquivos (VFS) com plugins, open source, bibliotecas de terceiros e arquivos de configuração. Existem cerca de 80 módulos no total que incluem carregadores, orquestradores, comunicadores de comando e controle, gravadores de áudio, keyloggers, grabbers de webcam e tela, documentos e ferramentas para roubar chaves de criptografia.

Ambos os pacotes também dão ao Taj Mahal a capacidade de roubar cookies de navegação, baixar informações gravadas em CDs gravados pelas vítimas e documentos na fila de uma impressora em pleno funcionamento. Há também uma espécie de “encomenda de roubo”: quando um servidor ou computador infectado abre um arquivo vindo de um pendrive, por exemplo, o Taj Mahal pode deixar uma espécie de “lembrete” para que, na próxima vez que o dispositivo for conectado, os arquivos visualizados dele também sejam roubados e enviados para outro destinatário.

“A infraestrutura TajMahal é uma descoberta muito interessante e intrigante. A sua sofisticação técnica é incontestável e inclui funcionalidades que nunca vimos em grupos especializados em APTs. Ainda há muitas questões sem respostas”, diz o especialista em malware da Kaspersky Labs, Alexey Shulmin. “Por exemplo, nos parece muito pouco provável que este investimento tenha apenas uma vítima como alvo. Isto sugere que há vítimas que ainda não foram identificadas ou que há versões atualizadas deste malware em ação– ou possivelmente ambas as opções. Os vetores de distribuição e infecção desta ameaça ainda permanecem desconhecidos. De qualquer forma, ela ficou longe do radar durante cinco anos. Ou isto se deve ao fato de ter estado inativa ou há questões intrigantes ainda sem respostas. Não existem pistas que possamos seguir, nem quaisquer links que nos levam a grupos que criaram esta ameaças”.

A fim de se evitar ataques dessa magnitude nas empresas, a Kaspersky recomenda a aquisição de soluções antiAPT, além de certificar-se de que os softwares usados no ambiente corporativo sempre estejam atualizados, reforçar a política de compliance interna no que tange à cibersegurança, e também dar orientações aos funcionários para que estes percebam tentativas diretas de ataque, como phishing e outras vertentes.

Fonte: Kaspersky Labs