Nach fünf Jahren unter dem Radar: Spionage-Malware "TajMahal" aufgetaucht
TajMahal wurde 2013 entwickelt, aber erst Ende 2018 entdeckt – auf wenigen Rechnern. Weitere Infektionen mit dem leistungsfähigen Schadcode sind wahrscheinlich.
(Bild: StockSnap)
- Uli Ries
Auf PCs in der Botschaft eines zentralasiatischen Staats fanden die Virenexperten von Kaspersky Lab im Herbst 2018 eine "TajMahal" getaufte Schadsoftware. Diesen Namen verdankt sie einer von ihr erzeugten XML-Datei, die zum Abtransport der von den Rechnern der Opfer kopierten Dateien dient. Laut Kaspersky ist der älteste verlässliche Zeitstempel im Code des Schädlings vom August 2013. Infiziert wurden die Rechner in der Botschaft spätestens im August 2014. Erst über vier Jahre später wurde Kaspersky auf den Schädling aufmerksam.
Die Ergebnisse der bisherigen Analysen hat das Unternehmen nun im Rahmen eines Vortrags auf seinem derzeit in Singapur stattfindenden Security Analyst Summit sowie in einem Blogeintrag vorgestellt.
Spionage-Werkzeugkasten mit Besonderheiten
Außergewöhnlich sei der große Funktionsumfang von TajMahal: Knapp 80 als DLL dynamisch nachladbare Module gehören zum Schädlingspaket. Neben den Klassikern wie Keystroke-Loggern, einer auf dem Open-Source-Paket LAME (MP3-Encoder) basierenden Audiowanze, einer Funktion zum Zugriff auf die Webcam des Opfers oder einem Modul zum Mitschnitt von Instant-Messaging-Unterhaltungen, finden sich auch außergewöhnliche Features.
So zum Beispiel ein Modul, das an die Druckerwarteschlange gesandte Dokumente oder solche, die auf CD/DVD archiviert werden sollen, abgreift. Im Gespräch mit heise security erklärte Alexey Shulmin von Kaspersky diese Funktionen damit, dass zu druckende oder zu archivierende Dokumente für Anwender eine höhere Relevanz haben und damit ins Visier der Datendiebe geraten. Außerdem sucht der Schädling nach lokalen Backups von iPhones und iPads und lädt diese auf die Server der Hintermänner.
Außergewöhnlich sei laut Shulmin auch, dass der Programmcode keinerlei Gemeinsamkeiten oder gar überlappende Codefragmente mit bisher analysierten Advanced Persistent Threats (APT) aufweist. Das mache Rückschlüsse auf die Entwickler beziehungsweise Hintermänner quasi unmöglich.
Von Tokyo bis Yokohama
Im Blogeintrag unterscheidet Kaspersky Lab zwischen zwei TajMahal-Hauptkomponenten namens "Tokyo" und "Yokohama". Tokyo agiert demnach als Backdoor auf infizierten Rechnern, über die Yokohama als Second-Stage-Malware nachgeladen wird. Die zweite Komponente bringt dann die beschriebenen Spionage-Funktionen mit.
(Bild: Kaspersky Lab)
Weitere Opfer sind wahrscheinlich
Obwohl TajMahal bislang lediglich innerhalb einer einzigen Organisation gefunden wurde, geht Kaspersky davon aus, dass es weitere Opfer gibt. Zum einen, weil der Aufwand zum Entwickeln von TajMahal viel zu groß gewesen sein muss, um damit nur eine einzige diplomatische Vertretung anzugreifen. Zum anderen, weil nach dem Säubern der betroffenen Rechner eine verdächtige Aktion aufgezeichnet wurde: Die Kriminellen veränderten einen der DNS-Einträge, über die der Schädling die IP-Adresse seiner Command & Control-Server (C2) auflöste.
Je nach DNS-Antwort arbeitet TajMahal unterschiedliche Aufgaben ab. Lautet das zweite und vierte Byte der IP-Adresse 33, deinstalliert sich die Malware, bei einer 44 installiert sie sich erneut. Die 77 steht für den regulären C2, ein anderer Wert für den Notfall-C2. Und genau die IP-Adresse des Notfall-Servers hat sich laut Shulmin geändert, nachdem Kaspersky die Botschaftsrechner von TajMahal befreit hat. Gäbe es keine anderen infizierten Maschinen, wäre diese Maßnahme der Angreifer sinnlos.
Wie TajMahal letztlich auf die PCs kam, kann Kaspersky derzeit nicht sagen. Ebenso unbekannt ist, ob es noch weitere Varianten der Malware gibt. Hierfür spräche, dass sich im virtuellen Fileystem von TajMahal ein Modul fand, das sich gar nicht verwenden lies. (ovw)
