据外媒报道,安全研究人员发现了一款独特的间谍软件,它有80个不同的组件进行着不同的网络间谍活动,而且秘密活动了长达五年之久。
在周三于新加坡举行的卡巴斯基安全分析师峰会(Kaspersky SecurityAnalyst Summit)上,卡巴斯基安全研究员Alexey Shulmin透露,卡巴斯基发现了名为TajMahal(泰姬陵)的新间谍软件框架,这是一款可适应的模块化软件,带有用于不同间谍任务的插件。TajMahal是根据间谍软件将被盗数据从受害者电脑上转移出来的一个文件命名的。
Shulmin 表示,这个APT攻击极其复杂,它包含了其他APT攻击中从未出现过的特性,而且拥有全新的代码。
卡巴斯基于去年秋天在一个中亚国家的大使馆的网络上发现了TajMahal间谍软件框架,但卡巴斯基拒绝透露大使馆的信息。Shulmin认为,TajMahal如此复杂,可能已经部署到了其他地方。美国国家安全局特定入侵行动办公室前成员Jake Williams表示,初步调查结果可能表明,这是一次非常谨慎的由国家支持的情报收集行动。
卡巴斯基目前还无法确定TajMahal与哪个已知的黑客组织有关,也还未确定TajMahal背后的黑客最初是如何进入受害者网络的。但卡巴斯基发现,该组织在机器上植入了一个后门程序,黑客称其为“Tokyo”。这个后门使用PowerShell连接到命令和控制服务器,并植入TajMahal的多功能间谍软件Yokohama。
Yokohama 除了拥有一些常见的间谍功能,也具备一些特殊功能。如受感染的电脑在插入USB驱动器时,它会扫描和上传命令和控制服务器的列表,黑客组织可以决定窃取哪些文件。如果在黑客决定之前USB驱动器已从设备上删除,TajMahal可以自动监控同一驱动器的USB端口,可在USB驱动器下次出现时将黑客所需文件上传。
卡巴斯基表示,中亚大使馆至少从2014年起就受到了威胁。TajMahal的编译时间表明它一直都处于活动状态,一些模块可以追溯到2013年,另一些模块则可以追溯到2018年。
不知何故,这款间谍软件在网络安全专家的眼皮底下已经隐藏了五年多的时间。这提醒网络安全社区,无法完全了解网络空间发生的一切。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
