nirutft - stock.adobe.com

TajMahal : un nouveau framework d’espionnage particulièrement furtif

Découvert par les équipes de Kaspersky à l’automne, il serait développé et utilisé depuis au moins cinq ans, de manière très sporadique. Fort de plus de 80 modules, il présente un vaste éventail fonctionnel.

Les équipes de Kaspersky viennent de profiter de la conférence analystes organisée par l’éditeur, qui se déroule actuellement à Singapour, pour lever le voile sur l’une de leurs dernières trouvailles : le framework TajMahal.

Celui-ci comporte deux packages, baptisés Tokyo et Yokohama, le premier apparaissant comme utilisé pour le déploiement du second. L’ensemble recouvre rien moins que 80 modules distincts, stockés dans un système de fichiers virtuel chiffré.

L’éventail fonctionnel offert par ces modules trahit la finalité de ce framework : l’espionnage. Ainsi, TajMahal peut intercepter et collecter des documents à partir de multiples sources, comme les files d’impression, les sauvegardes locales de terminaux mobiles Apple, ou encore des images de disques optiques gravés.

Ce framework permet également aux attaquants de récupérer des fichiers à partir de périphériques de stockage amovibles une fois qu’ils sont à nouveau accessibles, ou encore de dérober des cookies de navigation Web, et de réaliser des captures d’écran tout en enregistrant des communications en voix sur IP.

Kasperky indique n’avoir jamais observé TajMahal en action qu’une fois, au sein « d’une représentation diplomatique d’un pays d’Asie centrale ». Pour l’éditeur, la complexité du framework suppose un important effort de développement et conduit à soupçonner l’existence d’autres cas de contamination, qui restent à découvrir. Et cela d’autant plus que certains composants apparaissent avoir été compilés au mois d’août 2013. La seule victime connue à ce jour aurait été compromise dès le mois d’août 2014. Dans un billet de blog, Kaspersky fournit une liste d’indicateurs de compromission.

Pour approfondir sur Menaces, Ransomwares, DDoS