Utrecht, le 10 avril 2019 – Les chercheurs du Kaspersky Lab ont découvert une toute nouvelle plateforme de cyberespionnage très évoluée sur le plan technique. Active depuis 2013, elle ne semble avoir aucun lien avec des acteurs connus dans l’univers des cybermenaces. Baptisé TajMahal, ce réseau se compose d'environ 80 modules malveillants. De plus, cette nouvelle plateforme de cyberespionnage offre une fonctionnalité inédite dans l’univers des cybermenaces très élaborées. TajMahal est ainsi capable de voler des informations dans des files d'attente d’imprimantes et de voler les fichiers précédemment consultés sur une clé USB lorsque la clé est reconnectée à l'ordinateur. À ce jour, on sait qu'une ambassade asiatique est victime de cette nouvelle plateforme de cyberespionnage. Mais il se peut qu’il y ait plus de victimes qui ne sont pas encore manifestées. Le réseau TajMahal s’articule probablement autour de deux éléments baptisés « Tokyo » et « Yokohama ».

Cette toute nouvelle plateforme de cyberespionnage est un réseau APT très évolué sur le plan technique, qui a été développé pour assurer un cyberespionnage en profondeur. TajMahal est ainsi capable de collecter des cookies de navigateur, de mettre la main sur des listes de sauvegarde d’appareils mobiles Apple, de voler les données d'un CD gravé et d'extraire les documents d'une file d'attente d'impression. La plate-forme TajMahal peut également voler les fichiers précédemment visualisés à partir d'une clé USB dès que la clé est réinsérée dans l'ordinateur. Il ressort d’une analyse de logiciels malveillants réalisée par des chercheurs de Kaspersky Lab que la plate-forme est utilisée depuis cinq ans. Le premier cas répertorié date d’avril 2013. La cyberattaque la plus récente a eu lieu en août 2018. La plate-forme porte le nom du fichier utilisé pour exfiltrer les données volées.

Comptant environ trois modules, Tokyo est le plus petit des deux éléments de la plate-forme de cyberespionnage nouvellement mise à jour. Il fournit la principale porte dérobée et assure la connexion périodique aux serveurs de commande et de contrôle. Tokyo utilise PowerShell et reste présent dans le réseau, même si l'opération est déjà entièrement active. La seconde phase est le progiciel Yokohama : un cadre d'espionnage entièrement armé. Yokohama inclut un système de fichiers virtuel (Virtual File System, VFS) avec tous les plug-ins, bibliothèques open source, bases de données tierces et fichiers de configuration. En tout, Yokohama totalisé quelque 80 modules, dont des chargeurs, des orchestrateurs, des communicateurs de commande et de contrôle, des enregistreurs audio, des enregistreurs de frappe, des grabbers d'écran et de webcam, des documents et des modules qui volent les clés cryptographiques.

Les systèmes attaqués qui ont été identifiés par Kaspersky Lab sont infectés à la fois par Tokyo et Yokohama. Cela donne l'impression que Tokyo a été utilisé pour la première phase de l'infection, après quoi le composant Yokohama entièrement fonctionnel a été déployé chez des victimes « intéressantes » et finalement laissé sur place à des fins de sauvegarde.

« L’ingéniosité technique très sophistiquée et la fonctionnalité à nulle autre pareille de cette plate-forme de cyberespionnage TajMahal sont inédites. Par conséquent, il nous semble très improbable que l'investissement considérable qu’elle suppose ait été consenti pour une seule victime. Il est donc très probable qu'il y ait plusieurs victimes ou que différentes versions du logiciel malveillant soient en circulation. Qui sait, les deux situations sont peut-être de mise.. D'une manière ou d'une autre, cette plate-forme a réussi à voler sous les radars pendant plus de cinq ans.. Nous examinons actuellement si c'est parce que le réseau de cyberespionnage n'a pas encore été actif à grande échelle ou s'il y a d'autres éléments en jeu. À ce jour, nous n'avons pu trouver aucune trace de groupes APT existants », explique Jornt van der Wiel, expert en cybersécurité au Kaspersky Lab.