טאג' מהאל: נחשפה פלטפורמת ריגול נדירה מסוגה עם יכולות ייחודיות
מאת:
מערכת Telecom News, 15.4.19, 20:13
נחשפה סביבת ריגול סייבר בעלת רמת תחכום טכנולוגית גבוהה המכילה כ-80 מודולים זדוניים וכוללת יכולות ריגול, שלא נראו בעבר באיומים מתקדמים, כגון היכולת לגנוב מידע מתור להדפסה ולכידת קבצים, שנצפו באחסון USB בהתחברות הבאה שלו. מה מומלץ לארגונים לעשות?
טאג' מהאל היא סביבת הפעלה של איום מתמשך (
APT), שתוכננה לצורך ביצוע קמפיינים נרחבים של ריגול סייבר. חוקרי מעבדת קספרסקי חשפו את טאג' מהאל בסוף 2018 וניתוח הקוד הזדוני מראה, שהפלטפורמה פותחה והופעלה ב-5 השנים האחרונות, לפחות, כשהדוגמית המוקדמת ביותר מתוארכת לאפריל 2013, והאחרונה ביותר לאוגוסט 2018. השם טאג' מהאל מגיע מאחד משמות הקבצים המשמשים את המערכת בחילוץ נתונים.
החוקרים חילקו את המערכת ל-2 חבילות מרכזיות: הראשונה נקראת
טוקיו והשנייה
יוקוהאמה.
טוקיו היא הקטנה מה-2 ומכילה 3 מודולים. היא מכילה את יכולת ה"דלת האחורית" המרכזית של המערכת, ואת התקשורת עם שרתי הפיקוד והשליטה. טוקיו ממנפת את ה-
PowerShell והיא נותרת ברשת הפגועה גם אחרי שהחדירה עברה לשלב השני שלה.
יוקוהאמה מהווה את השלב השני: סביבת ריגול בחימוש מלא. יוקוהאמה מכילה מערכת קבצים וירטואלית (
VFS) עם כל הפלאגינים, ספריות קוד פתוח וספריות ייחודיות וקבצי הגדרות. ישנם בסך הכל כמעט 80 מודולים, והם כוללים טוענים (
loaders), אורקסטרטורים (
orchastratos), תקשורת פיקוד ושליטה, מקליטי אודיו, תיעוד הקלדות, לכידת מסך ומצלמת רשת, וגונבי מסמכים ומפתחות הצפנה.
טאג' מהאל גם מסוגלת לגנוב "עוגיות" דפדפן, לאסוף את רשימת הגיבוי של מכשירי אפל ניידים, לגנוב נתונים מכונן
CD , שנצרב ע"י הקורבן, וכן מסמכים מתור ההדפסה. היא יכולה גם לתת הוראה לגניבה של קובץ מסוים מ-
USB, שנעשה בו שימוש בעבר, והקובץ ייגנב כאשר ה-
USB יתחבר פעם נוספת למחשב.
המערכות שנפגעו ונבחנו ע"י החברה הודבקו ע"י טוקיו ויוקוהאמה. הדבר מצביע על כך, שחבילת טוקיו הייתה בשימוש כשלב ראשון של הדבקה, כאשר היא מפעילה את חבילת יוקוהאמה אצל קורבנות בעלי עניין, ואז נותרת לצורך גיבוי. עד עתה זוהה קורבן אחד בלבד, גורם דיפלומטי זר במרכז אסיה, שהודבק ב-2014. אפיקי ההפצה וההדבקה של טאג' מהאל עדיין אינם ידועים.
כדי להימנע מליפול קורבן להתקפה ממוקדת, חוקרי החברה ממליצים על האמצעים הבאים:
- השתמשו בכלי אבטחה מתקדמים וכן ודאו, שלצוות האבטחה יש גישה למודיעין האיומים העדכני ביותר.
- ודאו, שכל התוכנות בארגון מעודכנות על בסיס קבוע, במיוחד כאשר מתפרסם עדכון אבטחה חדש. מוצרי אבטחה עם יכולות הערכת פגיעויות וניהול עדכונים יכולות לסייע באוטומציה של תהליכים אלה.
- בחרו בפתרון אבטחה מוכח המצויד ביכולות זיהוי מבוססות התנהגות, לצורך הגנה יעילה כנגד גורמי איום מוכרים ושאינם מוכרים, כולל כלים לניצול פרצות.
- ודאו, שצוות מבין את עקרונות הבסיס של "הגיינת סייבר", מאחר שהתקפות ממוקדות רבות מתחילות בפישינג או טכניקות אחרות של הנדסה חברתית.
אלכסי שומלין, ראש ניתוח קוד זדוני, מעבדת קספרסקי: "החשיפה של טאג' מהאל היא דבר מרתק. התחכום הטכני הוא ללא ספק הגבוה ביותר שראינו אצל גורם איום מתקדם. מספר שאלות נותרו פתוחות. לדוגמא, נראה לא סביר, שהשקעה עצומה כזו תיעשה עבור קורבן אחד בלבד. לכן, או שישנם עדיין קורבנות נוספים, שלא התגלו, או שגרסאות נוספות של הקוד הזדוני הזה פעילות בשטח, או 2 האפשרויות יחדיו.
אפיקי ההפצה וההדבקה של האיום נותרים לא ידועים. בדרך כלשהי האיום נותר מתחת לראדר במשך יותר מ-5 שנים. עם זאת, תוצאה של היעדר יחסי בפעילות או שמדובר במשהו אחר, זו שאלה מרתקת. בנוסף, אין כל רמז המאפשר ליחס את האיום לקבוצות האיום המוכרות לנו".
הדו"ח המלא -
כאן.