LinuxParty

No suele ser fácil descubrir a grupos de hackeo financiados por estados, y tampoco es común descubrir el que podría ser el spyware más completo de la historia con 80 componentes distintos diseñados para el ciberespionaje más sofisticado. Esto es lo que afirma haber descubierto Kaspersky, donde afirman que esta herramienta ha estado cinco años oculta.

TajMahal: 80 módulos para un completísimo spyware que ha sido encontrado en una embajada

Este spyware, bautizado como TajMahal por el módulo descubierto que envía los datos robados fuera de la máquina infectada, cuenta con un diseño modular y adaptable que cuenta con diversos plugins para tareas de espionaje. Por ejemplo, es capaz de hacer de keylogger para registrar pulsaciones de teclas, puede hacer capturas de pantalla, puede interceptar documentos que se estén mandando a imprimir a la impresora, a grabar a un CD o a copiarlos en un USB, o tener una lista de “archivos de interés”, donde el malware los copia automáticamente a una memoria USB si se inserta en una máquina infectada. Si un archivo no es importante no se copiaría, grabaría o imprimiría.

Kaspersky detectó por primera vez este malware el pasado otoño en la embajada de un país de Asia Central, cuya ubicación no han querido desvelar. Sin embargo, debido a la sofisticación del spyware, creen que se ha podido desplegar en más sitios o que puede haber más versiones, ya que no tiene sentido realizar esa inversión para un solo objetivo.

Para crear esta sofisticada herramienta es necesario contar con un gran equipo de hackers, además de una elección de objetivos muy concretos. Los investigadores creen que crear algo tan complejo solo está al alcance de países como China, Irán, Rusia o Estados Unidos. Sin embargo, no han conseguido establecer el origen del spyware ni tampoco cómo consiguieron infectar la red de la embajada. Tampoco conocen cómo habían conseguido saltarse los antivirus.

El malware estaba actualizado a 2018

Para infectar los ordenadores primero se instala un programa que actúa como puerta trasera, y que los investigadores han llamado Tokyo. Esta puerta trasera usa PowerShell para conectarse con un servidor de control, e instalar el spyware completo, con decenas de módulos a los que han llamado Yokohama.

De hecho, uno de los módulos se dedica a escanear todos los archivos que hay en el ordenador infectado, y los espías detrás del malware deciden qué archivos quieren robar o no. En el caso de que la memoria USB se extraiga antes de copiar el archivo, el malware se mantendrá a la espera para copiar esos archivos una vez se vuelva a introducir esa memoria en el mismo conector.

El malware ha estado operando en la embajada del país asiático desde al menos 2014, pero se ha ido actualizando con el paso de los años, y no saben cómo. Hay módulos con fecha de 2013, mientras que hay otros que tienen fechas de 2018, por lo que o los han actualizado de manera remota, o un infiltrado en la embajada los ha ido renovando introduciendo él las versiones actualizadas del malware.

Fuente Wired.