נחשפה פלטפורמת ריגול נדירה מסוגה עם יכולות ייחודיות

פעילה לפחות מאז שנת 2013 ונראה כי אינה קשורה לאף גורם איום מוכר ● חוקרי מעבדת קספרסקי, שחשפו אותה, כינו את סביבת הריגול טאג' מהאל

סביבת ריגול סייבר טאג' מאהל. צילום אילוסטרציה: יח"צ

נחשפה סביבת ריגול סייבר בעלת רמת תחכום טכנולוגית גבוהה, הפעילה לפחות מאז שנת 2013, ונראה כי אינה קשורה לאף גורם איום מוכר. חוקרי מעבדת קספרסקי, שחשפו אותה, כינו את סביבת הריגול טאג' מהאל.

על פי החוקרים, היא מכילה כ-80 מודולים זדוניים, וכוללת יכולות ריגול שלא נראו בעבר באיומים מתקדמים – כגון היכולת לגנוב מידע מתור להדפסה, ולכידת קבצים שנצפו באחסון USB בהתחברות הבאה שלו. חוקרי קספרסקי זיהו עד עתה קורבן אחד – שגרירות זרה במרכז אסיה, אבל הם מניחים שיש קורבנות נוספים.

טאג' מהאל היא סביבת הפעלה של איום מתמשך, APT, שתוכננה לצורך ביצוע קמפיינים נרחבים של ריגול סייבר. החוקרים חשפו את טאג' מהאל בסוף שנת 2018 וניתוח הנוזקה העלה כי הפלטפורמה פותחה והופעלה בחמש השנים האחרונות לפחות. הדוגמית המוקדמת ביותר מתוארכת לאפריל 2013, והאחרונה ביותר – לאוגוסט 2018. השם טאג' מהאל הגיע מאחד משמות הקבצים שמשמשים את המערכת בחילוץ נתונים.

החוקרים חילקו את המערכת לשתי חבילות מרכזיות, הראשונה נקראת טוקיו והשנייה, יוקוהאמה. טוקיו היא הקטנה מהשתיים ומכילה שלושה מודולים. היא מכילה יכולת של דלת האחורית והיא המרכזית של המערכת, ואת התקשורת עם שרתי הפיקוד והשליטה. טוקיו ממנפת את ה-PowerShell והיא נותרת ברשת הפגועה, גם אחרי שהחדירה עברה לשלב השני שלה.

יוקוהאמה מהווה את השלב השני: סביבת ריגול בחימוש מלא. יוקוהאמה מכילה מערכת קבצים וירטואלית (VFS) עם כל הפלאגינים, ספריות קוד פתוח וספריות ייחודיות וקבצי הגדרות. ישנם בסך הכל כמעט 80 מודולים, והם כוללים טוענים (loaders), מתזמרים (אורקסטרטורים orchastratos), תקשורת פיקוד ושליטה, מקליטי אודיו, תיעוד הקלדות, לכידת מסך ומצלמת רשת, וגונבי מסמכים ומפתחות הצפנה.

מסוגלת לגנוב עוגיות דפדפן

טאג' מהאל גם מסוגלת לגנוב עוגיות דפדפן, לאסוף את רשימת הגיבוי של מכשירי אפל ניידים, לגנוב נתונים מכונן CD שנצרב על ידי הקורבן, וכן מסמכים מתור ההדפסה. היא יכולה גם לתת הוראה לגניבה של קובץ מסוים מ-USB שנעשה בו שימוש בעבר, והקובץ ייגנב כאשר ה-USB יתחבר פעם נוספת למחשב.

המערכות שנפגעו ונבחנו על ידי מעבדת קספרסקי הודבקו על ידי טוקיו ויוקוהאמה. הדבר מצביע על כך שחבילת טוקיו הייתה בשימוש כשלב ראשון של הדבקה, כאשר היא מפעילה את  חבילת יוקוהאמה אצל קורבנות בעלי עניין, ואז נותרת לצורך גיבוי. עד עתה זוהה קורבן אחד בלבד, גורם דיפלומטי זר במרכז אסיה, שהודבק ב-2014. אפיקי ההפצה וההדבקה של טאג' מהאל עדיין אינם ידועים.

"החשיפה של טאג' מהאל היא דבר מרתק", אמר אלכסי שומלין, ראש ניתוח קוד זדוני, מעבדת קספרסקי, "התחכום הטכני הוא בלא ספק הגבוה ביותר שראינו אצל גורם איום מתקדם. כמה שאלות נותרו פתוחות. לדוגמה, נראה לא סביר כי השקעה עצומה כזו תיעשה עבור קורבן אחד בלבד. לכן, או שישנם עדיין קורבנות נוספים שלא התגלו, או שגרסאות נוספות של הנוזקה הזו פעילות בשטח, או שתי האפשרויות יחדיו. אפיקי ההפצה וההדבקה של האיום נותרים לא ידועים. בדרך כלשהי, האיום נותר מתחת לרדאר במשך יותר מ-5 שנים. אם זאת תוצאה של היעדר יחסי בפעילות, או שמדובר במשהו אחר – זו שאלה מרתקת. בנוסף, אין כל רמז המאפשר ליחס את האיום לקבוצות האיום המוכרות לנו".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים