Ungkap Kampanye Mata-Mata Cyber Tingkat Tinggi

Ungkap Kampanye Mata-Mata Cyber Tingkat Tinggi

Penyerang Ciptakan Malware Unik dan Sangat Fleksibel untuk Curi Data dan Intelijen Geopolitik dari Sistem Komputer, Telepon Selular dan Perangkat Jaringan Enterprise Calon Korban

Kaspersky Lab hari ini mempublikasikan laporan hasil riset terbaru yang mengidentifikasi kampanye mata-mata cyber eksklusif yang menargetkan badan diplomatik, pemerintahan dan badan riset pengetahuan di beberapa negara paling tidak selama lima tahun. Fokus utama kampanye ini menargetkan negara-negara di Eropa Timur, bekas negara Republik USSR (Uni Soviet) dan negara-negara di Asia Tengah, meskipun korban bisa berasal dari negara manapun, termasuk Eropa Barat dan Amerika Utara. Tujuan utama para penyerang adalah mengumpulkan dokumen sensitif dari organisasi yang disusupi, termasuk intelijen geopolitik, kredensial untuk mengakses sistem komputer rahasia dan data dari perangkat bergerak milik personal serta perangkat jaringan.
Quote:
Pada Oktober 2012 tim pakar Kaspersky Lab memulai investigasi terkait adanya serangkaian serangan terhadap jaringan komputer yang menargetkan badan layanan diplomatik internasional. Investigasi ini mengungkap dan menganalisis jaringan mata-mata cyber berskala besar. Berdasarkan laporan analisis Kaspersky Lab, Operasi “Red October”, dikenal juga dengan “Rocra”, masih aktif per Januari 2013 dan merupakan kampanye berkelanjutan sejak 2007.

Temuan Utama Penelitian

Jaringan Mata-mata Cyber Tingkat Tinggi Red October: Para penyerang telah aktif setidaknya sejak 2007 dan fokus pada badan diplomatik dan pemerintahan di berbagai negara di dunia, selain badan riset, grup energi dan nuklir, serta perdagangan dan luar angkasa. Para penyerang “Red October” mendesain sendiri malware mereka, dikenal dengan nama “Rocra”, dengan arsitektur modular unik milik sendiri yang terdiri dari ekstension berbahaya, modul pencuri informasi dan Trojan backdoor.

Para penyerang seringkali menggunakan informasi yang dieksfiltrasi (diambil secara diam-diam) dari jaringan yang terinfeksi untuk memasuki sistem tambahan. Sebagai contoh, kredensial yang dicuri (atau informasi yang dieksfiltrasi) dikumpulkan dalam sebuah daftar dan digunakan ketika para penyerang perlu menebak password atau frasa untuk masuk ke sistem tambahan.

Untuk mengontrol jaringan komputer yang terinfeksi, para penyerang menciptakan lebih dari 60 nama domain dan beberapa lokasi hosting server di berbagai negara, sebagian besar berada di Jerman dan Rusia. Analisis Kaspersky Lab atas infrastruktur Command & Control (C2) “Rocra” menunjukkan bahwa sebenarnya rangkaian server tersebut bekerja sebagai proxy untuk menyembunyikan lokasi server kontrol ‘induk’.

Informasi yang dicuri dari sistem yang terinfeksi termasuk dokumen-dokumen dengan ekstension: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, dan acidssa. Khusus untuk “acid”, ekstension tersebut kemungkinan merujuk ke software rahasia “Acid Cryptofiler”, yang digunakan oleh beberapa entitas mulai dari Uni Eropa hingga NATO.

Menginfeksi Korban

Untuk menginfeksi sistem, para penyerang mengirim email spear-phishing bertarget ke korban yang juga berisi dropper atau peluncur Trojan kustomisasi. Untuk menginstal malware dan menginfeksi sistem, email berbahaya juga meliputi eksploitasi untuk mengakali kerentanan keamanan di Microsoft Office dan Microsoft Excel. Eksploitasi atas dokumen yang digunakan pada email spear-phishing diciptakan oleh penyerang lain dan digunakan untuk serangan cyber berbeda termasuk target pada aktivis Tibet serta sektor militer dan energi di Asia. Satu-satunya hal yang diubah pada dokumen yang digunakan oleh “Rocra” adalah eksekusi benaman (embedded executable), yang diganti dengan kode buatan para penyerang sendiri. Khususnya, salah satu perintah (command) pada peluncur Trojan mengubah default sytem codepage dari command prompt ke 1251, yang diperlukan untuk me-render font Cyrillic.

Korban & Organisasi Tertarget

Para pakar Kaspersky Lab menggunakan dua cara untuk menganalisis calon korban. Pertama, mereka menggunakan statistik pendeteksian dari Kaspersky Security Network (KSN) yaitu layanan keamanan berbasis awan yang digunakan oleh produk-produk Kaspersky Lab untuk melaporkan telemetri dan memberikan perlindungan ancaman tingkat tinggi dalam bentuk blacklist dan peraturan heuristik. KSN telah mendeteksi kode eksploitasi yang digunakan malware sejak 2011, yang memungkinkan para pakar Kaspersky Lab mencari pendeteksian yang serupa terkait “Rocra”. Cara kedua yang digunakan oleh tim riset Kaspersky Lab adalah membuat sinkhole server agar bisa memonitor komputer yang terinfeksi saat terkoneksi ke server-server “Rocra”. Data yang diterima selama analisis melalui kedua cara ini memberikan dua jalan independen untuk mengkorelasikan dan mengkonfirmasikan temuan mereka.

Statistik KSN: Beberapa ratus sistem unik yang terinfeksi dideteksi dengan data dari KSN, dengan fokus pada berbagai kedutaan, jaringan dan badan pemerintahan, badan riset pengetahuan dan konsulat. Berdasarkan data KSN, mayoritas infeksi yang teridentifikasi umumnya berlokasi di Eropa Timur, namun infeksi lain teridentifikasi juga di Amerika Utara dan negara-negara di Eropa Barat seperti Swiss dan Luksemburg.

Statistik Sinkhole: Analisis sinkhole dilakukan mulai 2 November 2012 sampai 10 Januari 2013. Selama masa ini, lebih dari 55 ribu koneksi dari 250 IP address yang terinfeksi teregistrasi di 39 negara. Mayoritas koneksi IP yang terinfeksi berasal dari Swiss, Kazakhstan dan Yunani.

Malware Rocra: arsitektur dan fungsionalitas yang unik

Para penyerang menciptakan platform serang multi fungsi yang meliputi beberapa ekstension dan file berbahaya yang didesain untuk bisa menyesuaikan diri secara cepat dengan konfigurasi berbagai sistem dan mengambil intelijen dari komputer yang terinfeksi. Platform ini unik hanya untuk “Rocra” dan tidak teridentifikasi oleh Kaspersky Lab pada kampanye mata-mata cyber sebelumnya. Karakteristik khusus antara lain:

Modul “Resurrection”: Modul yang memungkinkan para penyerang untuk “resurrect” atau menghidupkan lagi komputer yang telah terinfeksi. Modul ini ditanamkan sebagai plug-in di dalam Adobe Reader dan instalasi Microsoft Office dan memberi jalan aman bagi para penyerang untuk mengakses sistem yang ditarget jika body malware utama ditemukan dan dihapus, atau jika sistem ditambal (patch). Begitu C2 beroperasi lagi para penyerang mengirim file dokumen khusus (PDF atau dokumen Office) ke komputer korban melalui email yang akan kembali mengaktifkan malware tersebut.

Modul mata-mata kriptografis tingkat tinggi: Tujuan utama modul mata-mata ini adalah mencuri informasi. Ini termasuk file dari berbagai sistem kriptografis, misalnya Acid Cryptofiler, yang digunakan oleh organisasi-organisasi seperti NATO, Uni Eropa, Parlemen Eropa dan Komisi Eropa sejak musim panas (Juni – September) 2011 untuk melindungi informasi sensitif.
Quote:
Perangkat Bergerak (Mobile): Selain menargetkan ruang kerja (PC), malware ini juga mampu mencuri data dari perangkat bergerak seperti smartphone (iPhone, Nokia dan Windows Mobile). Malware ini juga mampu mencuri informasi konfigurasi dari peralatan jaringan enterprise seperti router dan switch, juga file yang telah dihapus dari disk drive (USB drive).

Identifikasi penyerang: Berdasarkan data registrasi server C2 dan beberapa jejak executable malware ini, ada bukti teknis kuat yang mengindikasikan bahwa para penyerang berasal dari negara berbahasa Rusia. Selain itu, executable yang digunakan oleh para penyerang sampai saat ini belum diketahui, dan tidak dikenal oleh para pakar Kaspersky Lab saat menganalisis serangan-serangan mata-mata cyber sebelumnya.

Kaspersky Lab, bekerjasama dengan organisasi internasional, badan penegak hukum dan Computer Emergency Response Teams (CERTs) terus melanjutkan investigasi atas “Rocra” dengan memberikan kemampuan teknis dan sumber daya untuk prosedur atau proses remediasi dan mitigasi.
Quote:
Kaspersky Lab mengucapkan terima kasih kepada: CERT Amerika, CERT Romania dan CERT Belarusia atas bantuan mereka dalam investigasi ini.

Malware “Rocra”, diklasifikasikan sebagai Backdoor.Win32.Sputnik, berhasil dideteksi, diblokir dan diremediasi oleh produk-produk Kaspersky Lab.
Quote:

Share this:

Add your comment
Hide comment

Disqus Comments