منظومة أخرى تحمل اسم Taj Mahal

أبريل 22, 2019

اكتشفنا في خريف عام 2018 هجومًا استهدف منظمة دبلوماسية تنتمي إلى بلد يقع في آسيا الوسطى. قد لا توجد قصة هنا (يكون الدبلوماسيون وأنظمة المعلومات الخاصة بهم محل جذب واهتمام مختلف القوى السياسية بين الحين والآخر) لولا الأداة المُستخدمة: منصة جديدة لهجوم APT تحمل اسم TajMahal.

منظومة TajMahal هي أكثر من مجرد مجموعة من المداخل السرية، فهي إطار تجسس يتميز بجودة عالية وبتقنية عالية ومزوّد بعدد كبير من الوظائف الإضافية (اكتشف الخبراء وجود 80 وحدة ضارة حتى الآن) بحيث يسمح بكل أنواع سيناريوهات الهجوم المتوقعة باستخدام مختلف الأدوات. ووفقًا للخبراء، فإن منظومة TajMahal تعمل منذ خمس سنوات وحقيقة أننا لم نكتشف سوى ضحية واحدة حتى الآن تعني أنه جار اكتشاف الضحايا الآخرين.

 ما الذي يمكن أن تفعله منظومة TajMahal؟

تتكون منصة هجوم APT من جزأين أساسيين وهما: حزمة Tokyo وحزمة Yokohama. فقد تم اكتشاف هاتين الحزمتين على كل أجهزة الكمبيوتر المُصابة. تعمل الحزمة Tokyo باعتبارها المدخل السري وترسل البرنامج الضار إلى المرحلة الثانية. والجدير بالذكر أنها تظل موجودة في النظام حتى بعد بدء المرحلة الثانية، ومن الواضح أن ذلك يكون بغرض العمل باعتبارها قناة اتصال إضافية. بينما تمثل الحزمة Yokohama شحنة الأسلحة التي تعمل في المرحلة الثانية. فهي تنشئ نظام ملف ظاهريًا مكتملاً بالوظائف الإضافية ومكتبات الجهات الخارجية وملفات التكوين. علمًا بأن مستودع الأسلحة الخاص بها واسع النطاق إلى أبعد الحدود كما يلي:

  • سرقة ملفات تعريف الارتباط،
  • إيقاف تنفيذ طباعة المستندات الموجودة في قائمة انتظار الطباعة،
  • تجميع بيانات حول الضحية (بما في ذلك قائمة بالنُسخ الاحتياطية الموجودة في جهازه الذي يعمل بنظام iOS)،
  • تسجيل مكالمات VoIP والتقاط لقطات شاشة لهذه المكالمات،
  • سرقة صور الأقراص البصرية الخاصة بالضحية،
  • فهرسة الملفات بما في ذلك الملفات الموجودة على محركات الأقراص الخارجية، وإمكانية سرقة ملفات محددة عند اكتشاف محرك الأقراص مرة أخرى.

الخاتمة

التعقيد التقني الذي تحلّت به منظومة TajMahal يجعلها اكتشافًا مُقلقًا للغاية، ومن المحتمل زيادة عدد الضحايا الذين تم اكتشافهم حتى الآن. ومع ذلك، اكتشفت منتجات Kaspersky Lab الهجوم الذي شنته منظومة TajMahal. يمكن الحصول على تقرير بمزيد من التفاصيل التقنية من خلال Securelist.

تم اكتشاف التهديد في الأساس من خلال الاستعانة بالتقنيات الإرشادية التلقائية المتوفرة لدينا. ولذلك ومن أجل التمتع بحماية ضد هجوم منظومة TajMahal وأساليبها