Την Τετάρτη διεξήχθη το Kaspersky Security Analyst Summit, στη Σιγκαπούρη. Εκεί αποκαλύφθηκε από τους ερευνητές, ότι η εταιρεία ανακάλυψε ένα νέο spyware με έναν αριθμό plugins, για κατασκοπευτικούς σκοπούς. Το όνομά του είναι Tajmahal. Το Tajmahal, μπορεί να κάνει πολλά περισσότερα πράγματα σε σχέση με τα υπόλοιπα spyware. Πέρα από το keylogging και το screengrabbing, το Tajmahal μπορεί να παρακολουθήσει έγγραφα που έχουν προγραμματιστεί για εκτύπωση και να κλέψει τα αρχεία αυτόματα, όταν ένα USB συνδεθεί στη μολυσμένη συσκευή.
Σύμφωνα με την Kaspersky, δεν φαίνεται να κρύβεται κάποια γνωστή κρατική ομάδα hackers πίσω από αυτό το μοναδικό spyware toolkit.
Το πιο ενδιαφέρον είναι ότι το συγκεκριμένο spyware κατάφερε να περάσει απαρατήρητο για 5 ολόκληρα χρόνια. Πρώτη φορά εντοπίστηκε το περασμένο φθινόπωρο, στο δίκτυο της πρεσβείας μιας χώρας της Κεντρικής Ασίας. Ωστόσο, είναι σχεδόν σίγουρο ότι χρησιμοποιείται και οπουδήποτε αλλού. Είναι ένα πολύ καλά αναπτυγμένο πρόγραμμα, που σίγουρα έχει στοχεύσει και άλλα θύματα. Είναι σχεδόν απίθανο να κατασκευάστηκε για έναν μόνο στόχο. Επομένως, ενδέχεται να υπάρχουν ακόμα πολλά θύματα, που δεν έχουν ανακαλυφθεί ή να υπάρχουν διαφορετικές εκδόσεις αυτού του κακόβουλου λογισμικού.
Ένας ειδικός υποστηρίζει ότι αυτό το λογισμικό έχει πιθανότατα χρηματοδοτηθεί από κάποια χώρα. Σίγουρα κρύβεται μια μεγάλη ομάδα προγραμματιστών πίσω από την ανάπτυξή του. Επίσης, το γεγονός ότι δεν είχε εντοπιστεί τόσα χρόνια και ότι μόνο ένα θύμα του έχει γίνει γνωστό, σημαίνει ότι έχει δοθεί μεγάλη προσοχή στη στόχευση, τη μυστικότητα και την ασφάλεια.
Η Kaspersky δεν έχει καταφέρει ακόμα να συνδέσει το Tajmahal, με κάποια γνωστή ομάδα hackers. Επιπλέον, ο στόχος (Κεντρική Ασία) επίσης δεν βοηθάει στην ανακάλυψη της ταυτότητας των hackers καθώς υπάρχουν πολλές χώρες που θα μπορούσαν να την παρακολουθούν, όπως η Κίνα, το Ιράν, η Ρωσία και οι ΗΠΑ.
Ακόμη, η εταιρεία δεν έχει καταλάβει πώς οι hackers αποκτούν αρχική πρόσβαση στο δίκτυο του θύματος. Ωστόσο, υπάρχει ένα backdoor πρόγραμμα στα μηχανήματα, το οποίο οι hackers χαρακτήρισαν Tokyo. Το backdoor χρησιμοποιεί το PowerShell, ώστε οι hackers να μπορούν να συνδεθούν με τον command-and-control server και να εγκαθιστούν το payload spyware του Tajmahal, το οποίο έχει ονομαστεί Yokohama.
Η ευελιξία του Yokohama είναι που ξεχωρίζει αυτό το spyware. Αν και περιλαμβάνει πολλά από τα συνηθισμένα χαρακτηριστικά ενός spyware με κρατική χορηγία, διαθέτει και κάποιες πιο ειδικές δυνατότητες. Για παράδειγμα, όταν συνδέεται ένα USB σε μια μολυσμένη συσκευή, το πρόγραμμα σαρώνει το περιεχόμενό του και φορτώνει μια λίστα με αυτό στον command-and-control server. Έπειτα, οι hackers αποφασίζουν ποια αρχεία τους ενδιαφέρουν. Στο μεταξύ, αν το USB αποσυνδεθεί πριν πάρουν τα αρχεία, το TajMahal παρακολουθεί αυτόματα τη θύρα USB και μόλις ξανασυνδεθεί, κλέβει τα αρχεία.
Επίσης, μπορεί να έχει πρόσβαση σε αρχεία που είναι προγραμματισμένα για εκτύπωση ή που είναι γραμμένα σε CD.
Μπορεί αυτές οι δυνατότητες να μην ακούγονται τόσο εντυπωσιακές αλλά είναι, αν σκεφτούμε ότι στοχεύουν σε πληροφορίες που είναι σημαντικές για το χρήστη. Η αποθήκευση σε ένα USB stick ή εγγραφή σε ένα CD γίνεται ακριβώς επειδή θεωρούμε κάποιες πληροφορίες σημαντικές και θέλουμε να τις προστατεύσουμε.
Η ιδιαίτερη προσοχή που έχει δοθεί στο συγκεκριμένο πρόγραμμα εξηγεί το λόγο για τον οποίο δεν εντοπίστηκε τόσο καιρό. Η πρεσβεία της Κεντρικής Ασίας φαίνεται να είχε μολυνθεί από το TajMahal πριν 5 χρόνια και παραπάνω.
