“Tokyo” é o pacote mais pequeno dos dois, com cerca de três módulos. Contém a funcionalidade principal de backdoor e conecta-se periodicamente com os servidores de comando e controlo. “Tokyo” utiliza o PowerShell e permanece na rede mesmo depois da invasão ter evoluído para o nível dois. 

A segunda fase ou etapa que diz respeito ao pacote “Yokohama”: um completo esquema de ciberespionagem. Este inclui um Sistema Virtual de Ficheiro (VFS) com todos os plugins, bibliotecas de open source, e propriedades de terceiros, bem como ficheiros de configuração. No total, existem cerca de 80 módulos que incluem desde carregadores, orquestradores, gestores de conexão de servidores de comando e controlo até complementos para a gravação de áudio, keyloggers, grabbers de webcam e ecrã, roubo de documentos e chaves de criptografia.

O TajMahal também é capaz de roubar as cookies do browser, reunir a lista de backup para dispositivos móveis da Apple, roubar dados de um CD gravado pela vítima, bem como documentos que estão na fila de uma impressora. Pode também solicitar o roubo de um ficheiro em específico de uma memória de um USB. O roubo produzir-se-ia na próxima conexão do USB ao computador.

Os sistemas-alvo que a Kaspersky Lab identificou foram ambos infetados com os pacotes Tokyo e Yokohama. Isto sugere que o Tokyo foi utilizado no primeiro nível da infeção, para depois, numa segunda etapa, estender o pacote completo “Yokohama” nas vítimas de interesse, deixando lá o Tokyo como cópia de segurança.

Até agora, apenas uma vítima foi identificada: uma entidade diplomática estrangeira berta num país na Ásia Central, que estava infetada desde 2014. Os vetores de distribuição e infeção do TajMahal continuam a ser desconhecidos.

“A infraestrutura TajMahal é uma descoberta muito interessante e preocupante. A sua sofisticação técnica vai além de todas as dúvidas e inclui funcionalidades que nunca vimos em agentes de ameaças avançadas. Desta forma, um grande número de questões permanece por responder. Por exemplo, parece-nos muito pouco provável que este investimento tenha apenas como alvo uma vítima. Isto sugere que vão existir vítimas pela frente que ainda não foram identificadas ou então versões adicionais deste malware no seu estado natural - ou possivelmente em ambos os estados. Os vetores de distribuição e infeção desta ameaça ainda permanecem desconhecidos. De alguma forma, isto ficou longe do radar durante cinco anos. Ou isto se deve ao facto de ter estado inativa ou há questões intrigantes por responder. Não existem pistas que possamos seguir, nem quaisquer links que nos levam a grupos de ameaças”, afirma Alexey Shulmin, especialista em lead malware na Kaspersky Lab.

Todos os produtos da Kaspersky Lab detetam e bloqueiam esta ameaça.

Para evitar ser uma das vítimas deste ataque dirigido por agentes de ameaças conhecidas ou desconhecidas, os especialistas da Kaspersky Lab recomendam implementar as seguintes medidas:

• Usar ferramentas de segurança avançada como o Kaspersky Anti Targeted Attack Platform (KATA) e ter a certeza de que a sua equipa de segurança tem acesso à mais recente inteligência de ciberameaças.
• Assegurar que todo o software utilizado na empresa é atualizado de forma regular, especialmente sempre que for lançado um novo patch de segurança. Os produtos de segurança com ferramentas de avaliação de vulnerabilidades e gestão de patches podem ajudar a automatizar estes processos.
• Escolher uma solução de segurança comprovada como o Kaspersky Endpoint Security, para uma melhor proteção face a ameaças conhecidas e desconhecidas, incluindo exploits; dispõe de funcionalidades de deteção com base em comportamentos.
• Garantir que a equipa compreende as regras básicas de cibersegurança a seguir, tal como saber que muitos ataques começam com phishing ou outras técnicas de engenharia social.

O relatório da infraestrutura de APT “TajMahal” pode ser encontrado na Securelist.