Başka bir Taj Mahal (Tokyo ve Yokohama arasında)

Nisan 12, 2019

2018 sonbaharında, bir Orta Asya ülkesine ait diplomatik bir kuruma yönelik bir saldırı tespit ettik. Bir aracın kullanımı (TajMahal adında yeni bir APT platformu) söz konusu olmasaydı burada sözünü edecek bir hikaye de (diplomatlar ve bilgi sistemlerinin, zaman zaman çeşitli siyasi güçlerin ilgisini çekmesi nedeniyle) olmayacaktı.

Yalnızca bir arka kapı serisinden daha fazlası olan TajMahal, çok sayıda eklentiye (uzmanlarımız bugüne kadar 80 kötü amaçlı modül bulmuştur) sahip olan ve çeşitli araçlar kullanarak her türlü saldırı senaryosuna olanak sağlayan yüksek kaliteli, yüksek teknoloji ürünü bir casus yazılım altyapısıdır. Uzmanlarımıza göre, TajMahal son beş yıldır faaliyet göstermektedir ve bugüne kadar yalnızca bir kurbanının doğrulanmış olması, henüz tanımlanmamış kurbanların da olduğunun bir göstergesidir.

TajMahal neler yapabilir?

APT platformu iki ana parçadan oluşmaktadır: Tokyo ve Yokohama. Her ikisi de virüsün bulaştığı bilgisayarların tümünde saptanmıştır. Tokyo, ana arka kapı olarak hareket eder ve ikinci aşama kötü amaçlı yazılımı iletir. İlginç bir şekilde, ikinci aşama başladıktan sonra bile, ek bir iletişim kanalı olarak çalışmak için sistemde kalmayı sürdürür. Yokohama ise, ikinci aşamanın silah yüküdür. Eklentileri, üçüncü taraf kitaplıkları ve yapılandırma dosyalarıyla eksiksiz bir sanal dosya sistemi oluşturur. Cephanesi ise olağanüstü düzeyde kapsamlıdır:

  • Çerezleri çalmak,
  • Yazdırma kuyruğundaki belgeleri ele geçirmek,
  • Kurban hakkında bilgi toplamak (iOS cihazlarının yedekleme kopyalarının bir listesi dahil),
  • VoIP çağrılarını kaydetmek ve ekran görüntülerini almak,
  • Kurban tarafından yapılan optik disk görüntülerini çalmak,
  • Harici sürücülerdeki dosyaları da içeren bir dizin oluşturmak ve sürücü yeniden algılandığında potansiyel olarak belirli dosyaları çalmak.

Sonuç

TajMahal’in teknik karmaşıklığı büyük endişe yaratmakta ve şu ana kadar tespit edilen mağdurların sayısının artması beklenmektedir. Bununla birlikte, Kaspersky Lab ürünleri TajMahal’i tespit edebilmektedir. Teknik olarak daha ayrıntılı bir rapora Securelist üzerinden ulaşabilirsiniz.

Tehdit, ilk olarak, otomatik sezgisel teknolojilerimizin kullanılması yoluyla keşfedilmiştir. Dolayısıyla, TajMahal ve analoglarına karşı korunmak için Kaspersky Security for Business gibi kanıtlanmış bir güvenlik çözümünün kullanılması mantıklıdır.