Rätselhaftes "TajMahal" Neuartige Spionagesoftware mit 80 Modulen entdeckt

Mindestens fünf Jahre lang ist ein mächtiges Spionagewerkzeug unentdeckt geblieben, das Forscher von Kaspersky Lab nun als "TajMahal" bekannt gemacht haben. Doch auch sie haben keine Ahnung, wer es entwickelt hat.

Nach dem Mausoleum Taj Mahal ist mittlerweile sogar eine Spyware benannt
AFP

Nach dem Mausoleum Taj Mahal ist mittlerweile sogar eine Spyware benannt


Wie spannend kann eine Spionagesoftware schon sein, wenn sie bisher nur einmal gefunden wurde und wenn völlig unklar ist, wie sie auf einen Computer gelangt, wer sie entwickelt hat und wofür? Ziemlich spannend, finden die Sicherheitsforscher von Kaspersky Lab.

Sie haben am Mittwoch auf der hauseigenen Konferenz SAS in Singapur ein bisher unbekanntes Spyware-Paket vorgestellt, das sie "TajMahal" nennen. Es besteht aus 80 Modulen mit teils neuartigen Spionagefunktionen - und existiert seit mindestens fünf Jahren, ohne dass es jemand bemerkt hätte.

Kaspersky Lab fand "TajMahal" nach eigenen Angaben Ende 2018 in einer "zentralasiatischen diplomatischen Einrichtung". Genauer will das russische Unternehmen nicht werden. Den Namen verpassten sie der Spionagesoftware, weil die unbekannten Entwickler eine Datei zur Ausleitung von Daten so genannt haben.

Der komplexe Code basiert auf nichts, was die Sicherheitsexperten schonmal irgendwo gesehen hatten - obwohl mindestens Teile davon seit 2014 aktiv waren, wie die Analyse ergab. Auch die Server, die für die Kommunikation mit der Spyware genutzt wurden, lassen keine Rückschlüsse auf die Hintermänner zu. Es ist nicht einmal klar, wie die diplomatische Einrichtung überhaupt infiziert wurde.

Weitere Opfer sind wahrscheinlich

Nur was "TajMahal" kann, ist sicher: Hintertüren öffnen, weitere Module nachladen, sich Notfallinstruktionen von einem Kommandoserver holen und sich dann zum Beispiel selbst löschen. Es gibt Module, um Mikrofone heimlich zu aktivieren, Tastatureingaben und Webcam-Übertragungen mitzuschneiden sowie Dokumente und kryptografische Schlüssel abzugreifen. So weit, so normal für Malware dieser Größenordnung.

Bemerkenswert ist jedoch die Fähigkeit, Dateien von besonderem Interesse für einen Angreifer zu identifizieren. Steckt jemand einen USB-Stick in einen infizierten Computer, erstellt "TajMahal" eine Liste der Dateien auf dem Stick und schickt sie an den Kommandoserver.

Wer auch immer die Spyware einsetzt, kann sich also aussuchen, was er davon haben will. Wird der Stick zu früh wieder abgezogen, kann "TajMahal" ihn wiedererkennen, wenn er das nächste Mal in den USB-Port gesteckt wird, und dann die gewünschte Datei abgreifen. Andere Module sind in der Lage, Dateien als potenziell interessant zu markieren, wenn diese ausgedruckt oder auf eine CD gebrannt werden. Außerdem geht ein Modul gezielt auf die Suche nach Sicherungskopien von iPhones und iPads.

Der Entwicklungsaufwand, der hinter "TajMahal" steckt, muss so beträchtlich sein, dass man daraus schlussfolgern kann:

  • "TajMahal" ist eine sogenannte fortgeschrittene, andauernde Bedrohung (Advanced Persistent Threat, kurz APT). So werden dauerhafte offensive Hacker-Kampagnen, aber auch lange Zeit aktive Hackergruppen sowie umfassende Spionageprogramme (Frameworks) bezeichnet.
  • Der Funktionsumfang und weitere Details sprechen für staatliche Interessen, also auch staatliche Unterstützer.
  • "TajMahal" wird in Zukunft vermutlich noch öfter entdeckt werden, jetzt, wo die Spionagesoftware in ihren Grundzügen bekannt ist.

Kaspersky-Lab-Forscher Alexey Shulmin schrieb der "Wired": "Es erscheint höchst unwahrscheinlich, dass so eine große Investition für nur ein Opfer getätigt wird. Also gibt es entweder weitere, bisher nicht identifizierte Opfer, oder weitere Versionen der Malware sind bereits im Umlauf, oder beides."

pbe

Mehr zum Thema


insgesamt 10 Beiträge
Alle Kommentare öffnen
Seite 1
www-professor 10.04.2019
1. Mein Verdacht:
Das Ding riecht nach Bundestrojaner?
toll_er 10.04.2019
2.
Zitat von www-professorDas Ding riecht nach Bundestrojaner?
Höhöhö... `Bundestrojaner... Da überschätzt aber jemand 'unsere' Fachleute gewaltig....
qijansha 10.04.2019
3. Duerfte klar sein
Wer es nutzt
Referendumm 10.04.2019
4.
Zitat von qijanshaWer es nutzt
Lassen Sie uns doch an Ihren Gedankenexperimenten teilhaben, wer war es denn so klar? So die übliche Reihenfolge? 1.) USA = NSA / CIA 2.) Russland = irgendwas mit Bär 3.) China - ja, mit was eigentlich? 4.) to be continuied Hmm, ein "in einer "zentralasiatischen diplomatischen Einrichtung"". Also nicht gegen ein zentralasiatisches Land gerichtet, sondern eine der dortigen "diplomatischen Einrichtung". Das kann jedes andere Land auf der Welt sein. Ein Spionagewerkzeug Namens "TajMahal" hat irgendein zentralasiatisches Land zusammengetackert und gegen Botschaften in ihrem eigenen Land oder Nachbarländern eingesetzt? Ja, warum nicht, auch dort gibts gute Programmierer, die gerne auch vom Staat unterstützt werden. "Den Namen verpassten sie der Spionagesoftware, weil die unbekannten Entwickler eine Datei zur Ausleitung von Daten so genannt haben." Also ganz einfach: Indien vs. Pakistan? Indien hat z.T. exzellente Programmierer. "Außerdem geht ein Modul gezielt auf die Suche nach Sicherungskopien von iPhones und iPads." Hmm, in welcher "diplomatischen Einrichtung" in Zentralasien sind ne Menge an iPhones und iPads im Einsatz und eben KEIN Androidkrempel? Hmm, hatte B. Obama nicht bei Amtsantritt diese Apfeldinger massiv eingeführt? Würde dann 1.) USA = NSA / CIA ausscheiden? Oder ist es einfach ein doofer Insiderjob? NSA, CIA etc.. sind als Organisationen bekannt, bei denen nicht nur eine homogene Gruppe arbeitet, sondern, dass sich dort selbst verschiedene Abteilungen gerne gegeneinander ausspionieren tun. So mal meine Überlegungen. Gibts weitere?
Nonvaio01 10.04.2019
5. es verwundert doch etwas
das immer Kaspersky die dinger findet. Von den ueblichen hoert man nie etwas.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.