טאג' מהאל: נחשפה פלטפורמת ריגול נדירה מסוגה עם יכולות ייחודיות

טאג' מהאל

הסביבה, שהחוקרים כינו טאג' מהאל, מכילה כ-80 מודולים זדוניים, וכוללת יכולות ריגול שלא נראו בעבר באיומים מתקדמים – כגון היכולת לגנוב מידע מתור להדפסה, ולכידת קבצים שנצפו באחסון USB בהתחברות הבאה שלו. מעבדת קספרסקי זיהתה עד עתה קורבן אחד, שגרירות זרה במרכז אסיה, אבל סביר להניח שיש נוספים.

טאג' מהאל היא סביבת הפעלה של איום מתמשך (APT) שתוכננה לצורך ביצוע קמפיינים נרחבים של ריגול סייבר. חוקרי מעבדת קספרסקי חשפו את טאג' מהאל בסוף שנת 2018 וניתוח הקוד הזדוני מראה כי הפלטפורמה פותחה והופעלה בחמש השנים האחרונות, לפחות, כשהדוגמית המוקדמת ביותר מתוארכת לאפריל 2013, והאחרונה ביותר לאוגוסט 2018. השם טאג' מהאל מגיע מאחד משמות הקבצים שמשמשים את המערכת בחילוץ נתונים.

החוקרים חילקו את המערכת לשתי חבילות מרכזיות, הראשונה נקראת טוקיו והשני יוקוהאמה. טוקיו היא הקטנה מהשתיים ומכילה שלושה מודולים. היא מכילה את יכולת ה"דלת האחורית" המרכזית של המערכת, ואת התקשורת עם שרתי הפיקוד והשליטה. טוקיו ממנפת את ה- PowerShell והיא נותרת ברשת הפגועה גם אחרי שהחדירה עברה לשלב השני שלה.

יוקוהאמה מהווה את השלב השני: סביבת ריגול בחימוש מלא. יוקוהאמה מכילה מערכת קבצים וירטואלית (VFS) עם כל הפלאגינים, ספריות קוד פתוח וספריות ייחודיות וקבצי הגדרות. ישנם בסך הכל כמעט 80 מודולים, והם כוללים טוענים (loaders), אורקסטרטורים (orchastratos), תקשורת פיקוד ושליטה, מקליטי אודיו, תיעוד הקלדות, לכידת מסך ומצלמת רשת, וגונבי מסמכים ומפתחות הצפנה.

טאג' מהאל גם מסוגלת לגנוב "עוגיות" דפדפן, לאסוף את רשימת הגיבוי של מכשירי אפל ניידים, לגנוב נתונים מכונןCD שנצרב על ידי הקורבן, וכן מסמכים מתור ההדפסה. היא יכולה גם לתת הוראה לגניבה של קובץ מסוים מ-USB שנעשה בו שימוש בעבר, והקובץ ייגנב כאשר ה-USB יתחבר פעם נוספת למחשב.

המערכות שנפגעו ונבחנו על ידי מעבדת קספרסקי הודבקו על ידי טוקיו ויוקוהאמה. הדבר מצביע על כך שחבילת טוקיו הייתה בשימוש כשלב ראשון של הדבקה, כאשר היא מפעילה את חבילת יוקוהאמה אצל קורבנות בעלי עניין, ואז נותרת לצורך גיבוי. עד עתה זוהה קורבן אחד בלבד, גורם דיפלומטי זר במרכז אסיה, שהודבק ב- 2014. אפיקי ההפצה וההדבקה של טאג' מהאל עדיין אינם ידועים.

"החשיפה של טאג' מהאל היא דבר מרתק. התחכום הטכני הוא ללא ספק הגבוה ביותר שראינו אצל גורם איום מתקדם. מספר שאלות נותרו פתוחות. לדוגמא, נראה לא סביר כי השקעה עצומה כזו תיעשה עבור קורבן אחד בלבד. לכן, או שישנם עדיין קורבנות נוספים שלא התגלו, או שגרסאות נוספות של הקוד הזדוני הזה פעילות בשטח, או שתי האפשרויות יחדיו.

אפיקי ההפצה וההדבקה של האיום נותרים לא ידועים. בדרך כלשהי האיום נותר מתחת לראדר במשך יותר מ- 5 שנים. אם זאת תוצאה של היעדר יחסי בפעילות או שמדובר במשהו אחר, זו שאלה מרתקת. בנוסף, אין כל רמז המאפשר ליחס את האיום לקבוצות האיום המוכרות לנו", אומר אלכסי שומלין, ראש ניתוח קוד זדוני, מעבדת קספרסקי.

כל מוצרי מעבדת קספרסקי מזהים וחוסמים בהצלחה איום זה.

כדי להימנע מליפול קורבן להתקפה ממוקדת, חוקרי מעבדת קספרסקי ממליצים על האמצעים הבאים:
השתמשו בכלי אבטחה מתקדמים, כגון Kaspersky Anti Targeted Attack Platform (KATA) וודאו כי לצוות האבטחה יש גישה למודיעין האיומים העדכני ביותר

ודאו כי כל התוכנות בארגון מעודכנות על בסיס קבוע, במיוחד כאשר מתפרסם עדכון אבטחה חדש. מוצרי אבטחה עם יכולות הערכת פגיעויות וניהול עדכונים יכולות לסייע באוטומציה של תהליכים אלה.

בחרו בפתרון אבטחה מוכח, כגון Kaspersky Endpoint Secuiry המצויד ביכולות זיהוי מבוססות התנהגות, לצורך הגנה יעילה כנגד גורמי איום מוכרים ושאינם מוכרים, כולל כלים לניצול פרצות.
ודאו כי הצוות מבין את עקרונות הבסיס של "הגיינת סייבר", מאחר והתקפות ממוקדות רבות מתחילות בפישינג או טכניקות אחרות של הנדסה חברתית.