En automne 2018 nous avons d\u00e9tect\u00e9 une attaque qui prenait pour cible l\u2019organisation diplomatique d\u2019un pays d\u2019Asie centrale. Ce cas n\u2019avait rien d\u2019exceptionnel puisque les diplomates et leurs syst\u00e8mes d\u2019informations suscitent de temps \u00e0 autre l\u2019int\u00e9r\u00eat de plusieurs forces politiques\u00a0; mais l\u2019outil utilis\u00e9 \u00e9tait particuli\u00e8rement int\u00e9ressant\u00a0:\u00a0 une nouvelle plateforme APT connue comme TajMahal.<\/p>\n
TajMahal est bien plus qu\u2019un simple ensemble de portes d\u00e9rob\u00e9es, puisqu\u2019il s\u2019agit d\u2019un spyware de pointe et de haute qualit\u00e9 \u00e9quip\u00e9 de nombreux plug-ins (nos experts ont trouv\u00e9 80 modules malveillants jusqu\u2019\u00e0 pr\u00e9sent), ce qui lui permet de r\u00e9aliser n\u2019importe quel genre de sc\u00e9narios d\u2019attaque gr\u00e2ce \u00e0 divers outils. Selon nos sp\u00e9cialistes, TajMahal a \u00e9t\u00e9 actif pendant cinq ans. Une seule victime a \u00e9t\u00e9 confirm\u00e9e jusque-l\u00e0, et toutes les autres personnes qui en ont souffert doivent encore \u00eatre identifi\u00e9es.<\/p>\n
La nouvelle plateforme APT se divise en deux parties\u00a0: Tokyo et Yokohama. Les deux ont \u00e9t\u00e9 d\u00e9tect\u00e9es sur tous les ordinateurs infect\u00e9s. Tokyo agit comme porte d\u00e9rob\u00e9e principale et distribue le malware de deuxi\u00e8me \u00e9tape. Curieusement, il reste dans le syst\u00e8me m\u00eame apr\u00e8s que la seconde phase ait \u00e9t\u00e9 lanc\u00e9e, et il est \u00e9vident qu\u2019il le fait pour fonctionner comme canal de communication additionnel. Pendant ce temps, Yokohama est la charge utile de l\u2019arme utilis\u00e9e en deuxi\u00e8me partie. Il cr\u00e9e un syst\u00e8me de fichiers virtuel et complet avec des plug-ins, des librairies de tiers, et des fichiers de configuration. Son arsenal est exceptionnellement vaste\u00a0:<\/p>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2019\/04\/17134527\/The_TajMahal_attackprocess_final.jpg\")
<\/p>\n
\u00a0<\/p>\n
La d\u00e9couverte de TajMahal est particuli\u00e8rement inqui\u00e9tante \u00e0 cause de sa complexit\u00e9 technique, et le nombre de victimes identifi\u00e9es jusqu\u2019\u00e0 pr\u00e9sent va tr\u00e8s certainement augmenter. Cela dit, les produits de Kaspersky Lab d\u00e9tectent TajMahal. Vous pouvez obtenir tous les d\u00e9tails techniques en lisant l\u2019article que nous avons publi\u00e9 sur Securelist<\/a>.<\/p>\n