Le spécialiste russe de la sécurité Kaspersky a découvert une nouvelle plateforme de menaces persistantes avancées (APT), nommée Taj Mahal.

Elle a servi à l’automne 2018 lors d’une attaque contre une organisation diplomatique d’un pays d’Asie centrale, et serait utilisée depuis au moins cinq ans. On ne sait pas si elle est restée si longtemps inconnue grâce à une utilisation parcimonieuse, ou à cause d’autres facteurs.

Taj Mahal est composée deux parties nommées Tokyo et Yokohama, toutes deux détectées sur un ordinateur infecté.

Tokyo est la porte dérobée principale, qui livre le logiciel malveillant de deuxième phase. Elle reste présente après le début de la deuxième phase, afin d’opérer comme canal de communication additionnel.

Yokohama est le logiciel malveillant de deuxième phase, qui crée un système de fichiers virtuels complet avec plugiciels, librairies tierces et fichiers de configuration. Son arsenal est extrême et peut, en plus des fonctionnalités habituelles, comme l’enregistrement de touches :

  • Voler des cookies ;
  • Intercepter des documents dans une queue d’impression ;
  • Collecter des informations sur la victime, y compris une liste de copies de sauvegarde de leurs appareils iOS ;
  • Enregistrer et prendre des copies d’écran d’appels VoIP ;
  • Voler des images des disques optiques créés par la victime ;
  • Indexer des fichiers, y compris sur les disques externes, et potentiellement voler des fichiers spécifiques quand le lecteur est à nouveau détecté.

Au total, les experts ont déjà détecté 80 modules différents dans ce logiciel d’espionnage de haut niveau.

Sa complexité laisse craindre le pire, et l’on découvrira sans doute de nombreuses victimes.

On ne sait pas qui est à l’origine de Taj Mahal. On serait toutefois étonné qu’il ne s’agisse pas d’un État, ou d’une organisation travaillant pour un État.

Unique consolation: les produits de Kaspersky semblent le détecter.