Terungkap Beberapa “Spy Cyber” Tingkat Tinggi

Para Ahli Keamanan Ungkap Beberapa “Spy Cyber” Tingkat Tinggi

Di abad cyber yang super canggih ini, uang nasabah bank bisa dicuri via ATM, siapa pelakunya? Mungkinkah pelakunya dipicu oleh diri ANDA SENDIRI???

 

Penyerang Ciptakan Malware Unik dan Sangat Fleksibel untuk Curi Data dan Intelijen Geopolitik dari Sistem Komputer, Telepon Selular dan Perangkat Jaringan Enterprise Calon Korbannya.

Waspadalah, Sepanjang 2013 Saja, Telah Lahir 10 Juta Malware Baru!

Menurut laporan terbaru yang dirilis produsen software keamanan asal Spanyol, Panda Security, hingga akhir kuartal ketiga tahun 2013 lalu, ekosistem dan peredar malware semakin mengkhawatirkan. Bahkan, hasil penelitian perusahaan keamanan digital yang telah beroperasi sejak 1990 silam itu kali ini cukup mengerikan. Bisa kita dibayangkan, sebanyak apa malware yang tercipta pada tahun ini?

Mengutip laman Softpedia, Jumat (29/11/2013) tahun lalu, Panda Security melaporkan bahwa di sepanjang tahun 2013, mulai Januari hingga Oktober 2013, telah lahir lebih dari 10 juta malware jenis terbaru! Wow!

Parahnya, 77% populasi malware yang beredar adalah jenis Trojan yang dikenal sangat berbahaya. Sementara di peringkat kedua terdapat jenis Worms 13%, dan diikuti oleh Virus dengan 9% populasi.

1. Awas! Trojan Android “Trojan.Bank.Wroba“, Bersembunyi Dibalik Aplikasi E-banking Anda

Laman The Hacker News sebelumnya juga sempat mengingatkan para pengguna perangkat komputasi agar berhati-hati terhadap jenis Trojan terbaru yang dikenal dengan nama Android/Trojan.Bank.Wroba.

Jenis Trojan ini disinyalir memiliki kemampuan untuk bersembunyi di balik aplikasi e-banking yang dipasarkan via toko aplikasi.

Hal ini sangat berbahaya karena pengguna tanpa disadari dapat mengunduh aplikasi yang terinfeksi tersebut dan pada akhirnya data login e-banking korban bisa dicuri tanpa disadari.

Pihak Panda Security berharap para produsen perangkat teknologi ternama seperti Google, Microsoft dan Apple turut serta dalam usaha memerangi pertumbuhan populasi malware.

Sebab, hampir seluruh jenis malware yang beredar saat ini memang ditujukan untuk menyerang perangkat ataupun sistem operasi besutan mereka, yang memang memiliki basis pengguna sangat besar.

2. “Spy Trojan Svpeng“, Dapat Curi Uang Anda Dari Smartphone Anda Sendiri!

Pada Juni 2013 lalu, para ahli keamanan menemukan Svpeng Trojan yang merupakan Trojan baru dan mampu mencuri akses rekening bank korban mereka langsung dari smartphone korban!

Ini adalah pendekatan yang jauh lebih simpel dibandingkan dengan pendekatan tradisional smartphone-plus-komputer yang biasanya dilakukan oleh malware jenis ini.

Sedangkan sejak September 2013, Kaspersky Lab mendeteksi kasus pertama Botnet pihak ketiga yang digunakan untuk mendistribusikan Trojan.

Hal ini secara signifikan meningkatkan area penginfeksian Trojan dan menjadi kunci penyebaran Obad, Android Trojan paling canggih yang teridentifikasi sampai saat ini.

Tidak seperti malware lain yang sejenis seperti ZitMo atau SitMo, Spveng memungkinkan para pelaku mencuri uang setelah menginfeksi satu perangkat saja, smartphone korbannya.

Cara Kerja

Malware ini memeriksa saldo rekening korban melalui layanan mobile banking, yang lalu menerima penawaran untuk melakukan top up rekening mobile korban, dan mentransfer uang dari rekening bank korban ke rekening mobile pelaku.

Para pelaku mampu mengirim uang ini ke dompet digital mereka dan mencairkan uang tersebut. Trojan seperti ini bisa dengan mudah meraup ribuan dollar uang korban! Menurut Kaspersky Lab, 97,5% serangan yang terjadi pada paltform mobile menyasar sistem operasi Android.

Viktor Chebyshev, analis virus Kaspersky Lab, mengatakan:

“Mayoritas malware Android didesain untuk mencuri uang atau mencuri data personal sebagai target sekunder. Seluruh infeksi, distribusi dan mekanisme penyamaran secara cepat bermigrasi dari PC. Saat ini, para penjahat cyber melakukan apapun yang bisa mereka lakukan untuk mencuri sebanyak mungkin. Para penulis virus sepertinya akan terus meningkatkan jumlah botnet, dan menginfeksi sebanyak mungkin pengguna Android.”

3. “Spy Trojan Icefog Q3 2013” Serang Perusahaan-Perusahaan Barat

Sementara itu, saat para penjahat cyber yang menggunakan platform mobile terus mengembangkan cara-cara yang semakin canggih, serangan berbasis web atau Internet masih terus mengandalkan pada jumlah insiden.

Produk-produk Kaspersky Lab secara total mendeteksi ada 500.284.715 serangan pada Q3 2013. Sepuluh negara diketahui menjadi tempat sumber distribusi malware dengan Amerika Serikat, Rusia, dan Jerman berada di posisi teratas.

Serangan Tertarget/APT pada Q3 2013 Pada September 2013, Kaspersky Lab mengungkap Icefog, kelompok APT (Advanced Persistent Threat) yang kecil namun sangat aktif yang memfokuskan target ke Korea Selatan dan Jepang dan menyerang rantai suplai perusahaan-perusahaan Barat.

 erangan Icefog yang bersifat ‘hit and run’ menunjukkan trend baru yang semakin berkembang, yaitu kelompok-kelompok kecil yang menyasar informasi tertentu dengan presisi tinggi.

Pada Q3 ini juga riset keamanan Kaspersky Lab menganalisis kegiatan mata-mata cyber aktif yang khusus menyasar think tank Korea Selatan. Kegiatan mata-mata ini, dikenal dengan nama Kimsuky, sangat terbatas dan sangat tertarget.

Berdasarkan analisis teknis, para pelaku sangat tertarik dengan organisasi yang ada di Korea Selatan dan dua kelompok tertentu di China. Petunjuk yang didapatkan Kaspersky Lab mengindikasikan bahwa para pelaku berasal dari Korea Utara.

4. “Operation NetTraveler” Sandi Baru Kegiatan Mata-Mata Global

Tim pakar Kaspersky Lab hari ini merilis laporan penelitian baru mengenai NetTraveler, bagian dari program berbahaya yang digunakan oleh para pelaku APT (Advanced Persistent Threat) untuk menginfeksi lebih dari 350 korban profil tinggi/penting di 40 negara.

Kelompok NetTraveler telah menginfeksi korban dari berbagai latar belakang baik di sektor publik maupun swasta termasuk lembaga pemerintah, kedutaan besar, industri migas, pusat penelitian, kontraktor militer dan para aktivis.

Berdasarkan laporan Kaspersky Lab tersebut, para pelaku telah aktif sejak 2004, namun volume kegiatan tertinggi terjadi pada kurun 2010 – 2013.

Temuan terbaru, group NetTraveler paling banyak melakukan kegiatan mata-mata cyber di bidang eksplorasi luar angkasa, teknologi nano, produksi energi, daya nuklir, laser, obat-obatan, dan komunikasi.

Metode Penginfeksian:

• Para pelaku menginfeksi korban dengan mengirimkan email phishing cerdik berisi lampiran Microsoft Office berbahaya dengan dua kerentanan yang telah dieksploitasi besar-besaran yaitu CVE-2012-0158 dan  CVE-2010-3333. Meski Microsoft telah merilis patch untuk dua kerentanan ini, mereka masih digunakan secara luas dalam serangan tertarget dan terbukti efektif.

• Judul lampiran berbahaya dalam email phishing menggambarkan persistensi group NetTraveler untuk mengkustom serangan mereka agar bisa menginfeksi target profil tinggi atau target penting mereka. Judul-judul dokumen berbahaya yang digunakan antara lain:

• • Army Cyber Security Policy 2013.doc (Kebijakan Keamanan Cyber Tentara 2013.doc)
  • Report – Asia Defense Spending Boom.doc (Laporan – Kenaikan Belanja Pertahanan Asia.doc)
  • Activity Details.doc (Detail Kegiatan.doc)
  • His Holiness the Dalai Lama’s visit to Switzerland day 4 (Kunjungan Yang Mulia Dalai Lama ke Swiss, Hari Ke-4)
  • Freedom of Speech. Doc (Kebebasan Berbicara.doc)
  
  Pencurian Data & Eksfiltrasi:
  
• Pada waktu menganalisis, tim pakar Kaspersky Lab mendapatkan log penginfeksian dari beberapa server command and control (C&C) NetTraveler. Server C&C digunakan untuk menginstal malware tambahan ke komputer yang telah terinfeksi dan mengeksfiltrasi data yang telah dicuri. Para pakar Kaspersky Lab memperkirakan data curian yang tersimpan di server C&C NetTraveler mencapai lebih dari 22 gigabyte.

• Data yang dieksfiltrasi dari komputer yang terinfeksi biasanya meliputi file system listing, keylog, dan berbagai file termasuk PDF, excel sheet, dokumen word, dan file lainnya. Selain itu, toolkit NetTraveler mampu menginstal malware pencuri info lain (info-stealing malware) sebagai backdoor, dan bisa dikustomisasi untuk mencuri informasi sensitif lain seperti detail konfigurasi untuk sebuah aplikasi atau file CAD (computer-aided design).

Statistik Infeksi Global:

• Berdasarkan analisis Kaspersky Lab terhadap data C&C NetTraveler, terdapat 350 korban di 40 negara di dunia termasuk Amerika Serikat, Kanada, Inggris, Rusia, Chile, Maroko, Yunani, Belgia, Austria, Ukraina, Lithuania, Belarus, Australia, Hong Kong, Jepang, China, Mongolia, Iran, Turki, India, Indonesia, Pakistan, Korea Selatan, Thailand, Qatar, Kazakhstan, dan Yordania.

• Terkait dengan analisis data C&C, para pakar Kaspersky Lab menggunakan Kaspersky Security Network (KSN) untuk mengidentifikasi statistik penginfeksian tambahan. Sepuluh negara teratas yang dideteksi KSN sebagai korban NetTraveler adalah Mongolia, Rusia, India, Kazakhstan, Kyrgyzstan, China, Tajikistan, Korea Selatan, Spanyol, dan Jerman.

5. “Spy Cyber” Tingkat Tinggi: “Backdoor Sputnik“

Kaspersky Lab. (8/5/2014) mempublikasikan laporan hasil riset terbaru yang mengidentifikasi kampanye mata-mata cyber exclusive yang menargetkan badan diplomatik, pemerintahan dan badan riset pengetahuan di beberapa negara paling tidak selama lima tahun.

Fokus utama kampanye ini menargetkan negara-negara di Eropa Timur, bekas negara Republik USSR (Uni Soviet) dan negara-negara di Asia Tengah, meskipun korban bisa berasal dari negara manapun, termasuk Eropa Barat dan Amerika Utara.

Tujuan utama para penyerang adalah mengumpulkan dokumen sensitif dari organisasi yang disusupi, termasuk intelijen geopolitik, kredensial untuk mengakses sistem komputer rahasia dan data dari perangkat bergerak milik personal serta perangkat jaringan.

Pada Oktober 2012 lalu, tim pakar Kaspersky Lab memulai investigasi terkait adanya serangkaian serangan terhadap jaringan komputer yang menargetkan badan layanan diplomatik internasional.

Investigasi ini mengungkap dan menganalisis jaringan mata-mata cyber berskala besar. Berdasarkan laporan analisis Kaspersky Lab, Operasi “Red October”, dikenal juga dengan “Rocra”, masih aktif per Januari 2013 lalu dan merupakan kampanye berkelanjutan sejak 2007.

Temuan Utama Penelitian

Jaringan Mata-mata Cyber Tingkat Tinggi Red October:

“Para penyerang telah aktif setidaknya sejak 2007 dan fokus pada badan diplomatik dan pemerintahan di berbagai negara di dunia, selain badan riset, grup energi dan nuklir, serta perdagangan dan luar angkasa. Para penyerang “Red October” mendesain sendiri malware mereka, dikenal dengan nama “Rocra”, dengan arsitektur modular unik milik sendiri yang terdiri dari ekstension berbahaya, modul pencuri informasi dan Trojan backdoor.”

Para penyerang seringkali menggunakan informasi yang dieksfiltrasi (diambil secara diam-diam) dari jaringan yang terinfeksi untuk memasuki sistem tambahan. Sebagai contoh, kredensial yang dicuri (atau informasi yang dieksfiltrasi) dikumpulkan dalam sebuah daftar dan digunakan ketika para penyerang perlu menebak password atau frasa untuk masuk ke sistem tambahan.

Untuk mengontrol jaringan komputer yang terinfeksi, para penyerang menciptakan lebih dari 60 nama domain dan beberapa lokasi hosting server di berbagai negara, sebagian besar berada di Jerman dan Rusia. Analisis Kaspersky Lab atas infrastruktur Command & Control (C2) “Rocra” menunjukkan bahwa sebenarnya rangkaian server tersebut bekerja sebagai proxy untuk menyembunyikan lokasi server kontrol ‘induk’.

Informasi yang dicuri dari sistem yang terinfeksi termasuk dokumen-dokumen dengan ekstension:

txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau, cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, dan acidssa.

Khusus untuk “acid”, ekstension tersebut kemungkinan merujuk ke software rahasia “Acid Cryptofiler”, yang digunakan oleh beberapa entitas mulai dari Uni Eropa hingga NATO.

Menginfeksi Korban

Untuk menginfeksi sistem, para penyerang mengirim email spear-phishing bertarget ke korban yang juga berisi dropper atau peluncur Trojan kustomisasi. Untuk menginstal malware dan menginfeksi sistem, email berbahaya juga meliputi eksploitasi untuk mengakali kerentanan keamanan di Microsoft Office dan Microsoft Excel.

Eksploitasi atas dokumen yang digunakan pada email spear-phishing diciptakan oleh penyerang lain dan digunakan untuk serangan cyber berbeda termasuk target pada aktivis Tibet serta sektor militer dan energi di Asia.

Satu-satunya hal yang diubah pada dokumen yang digunakan oleh “Rocra” adalah ‘eksekusi benaman’ (embedded executable), yang diganti dengan kode buatan para penyerang sendiri. Khususnya, salah satu perintah (command) pada peluncur Trojan mengubah default system codepage dari command prompt ke 1251, yang diperlukan untuk me-render font Cyrillic.

Korban & Organisasi Tertarget

Para pakar Kaspersky Lab. menggunakan dua cara untuk menganalisis calon korban:

1. Cara pertama, mereka menggunakan statistik pendeteksian dari Kaspersky Security Network (KSN) yaitu layanan keamanan berbasis awan yang digunakan oleh produk-produk Kaspersky Lab. untuk melaporkan telemetri dan memberikan perlindungan ancaman tingkat tinggi dalam bentuk blacklist dan peraturan heuristik.

KSN telah mendeteksi kode eksploitasi yang digunakan malware sejak 2011, yang memungkinkan para pakar Kaspersky Lab. mencari pendeteksian yang serupa terkait “Rocra”.

2. Cara kedua, yang digunakan oleh tim riset Kaspersky Lab. adalah membuat sinkhole server agar bisa memonitor komputer yang terinfeksi saat terkoneksi ke server-server “Rocra”. Data yang diterima selama analisis melalui kedua cara ini memberikan dua jalan independen untuk mengkorelasikan dan mengkonfirmasikan temuan mereka.

Keterangan:

Statistik KSN: Beberapa ratus sistem unik yang terinfeksi dideteksi dengan data dari KSN, dengan fokus pada berbagai kedutaan, jaringan dan badan pemerintahan, badan riset pengetahuan dan konsulat. Berdasarkan data KSN, mayoritas infeksi yang teridentifikasi umumnya berlokasi di Eropa Timur, namun infeksi lain teridentifikasi juga di Amerika Utara dan negara-negara di Eropa Barat seperti Swiss dan Luksemburg.

Statistik Sinkhole: Analisis sinkhole dilakukan mulai 2 November 2012 sampai 10 Januari 2013. Selama masa ini, lebih dari 55 ribu koneksi dari 250 IP address yang terinfeksi teregistrasi di 39 negara. Mayoritas koneksi IP yang terinfeksi berasal dari Swiss, Kazakhstan dan Yunani.

Malware Rocra: Arsitektur dan fungsionalitas yang unik

Para penyerang menciptakan platform serang multi fungsi yang meliputi beberapa ekstension dan file berbahaya yang didesain untuk bisa menyesuaikan diri secara cepat dengan konfigurasi berbagai sistem dan mengambil intelijen dari komputer yang terinfeksi.

Platform ini unik hanya untuk “Rocra” dan tidak teridentifikasi oleh Kaspersky Lab. pada kampanye mata-mata cyber sebelumnya.

Karakteristik khusus antara lain:

Modul “Resurrection”: Modul yang memungkinkan para penyerang untuk “resurrect” atau menghidupkan lagi komputer yang telah terinfeksi. Modul ini ditanamkan sebagai plug-in di dalam Adobe Reader dan instalasi Microsoft Office dan memberi jalan aman bagi para penyerang untuk mengakses sistem yang ditarget jika body malware utama ditemukan dan dihapus, atau jika sistem ditambal (patch). Begitu C2 beroperasi lagi para penyerang mengirim file dokumen khusus (PDF atau dokumen Office) ke komputer korban melalui email yang akan kembali mengaktifkan malware tersebut.

Modul mata-mata kriptografis tingkat tinggi: Tujuan utama modul mata-mata ini adalah mencuri informasi. Ini termasuk file dari berbagai sistem kriptografis, misalnya Acid Cryptofiler, yang digunakan oleh organisasi-organisasi seperti NATO, Uni Eropa, Parlemen Eropa dan Komisi Eropa sejak musim panas (Juni – September) 2011 untuk melindungi informasi sensitif.

Perangkat Bergerak (Mobile): Selain menargetkan ruang kerja (PC), malware ini juga mampu mencuri data dari perangkat bergerak seperti smartphone (iPhone, Nokia dan Windows Mobile). Malware ini juga mampu mencuri informasi konfigurasi dari peralatan jaringan enterprise seperti router dan switch, juga file yang telah dihapus dari disk drive (USB drive).

Identifikasi penyerang: Berdasarkan data registrasi server C2 dan beberapa jejak executable malware ini, ada bukti teknis kuat yang mengindikasikan bahwa para penyerang berasal dari negara berbahasa Rusia. Selain itu, executable yang digunakan oleh para penyerang sampai saat ini belum diketahui, dan tidak dikenal oleh para pakar Kaspersky Lab. saat menganalisis serangan-serangan mata-mata cyber sebelumnya.

Kaspersky Lab, bekerjasama dengan organisasi internasional, badan penegak hukum dan Computer Emergency Response Teams (CERTs) terus melanjutkan investigasi atas “Rocra” dengan memberikan kemampuan teknis dan sumber daya untuk prosedur atau proses remediasi dan mitigasi.

Kaspersky Lab mengucapkan terima kasih kepada: CERT Amerika, CERT Romania dan CERT Belarusia atas bantuan mereka dalam investigasi ini.

Malware “Rocra”, diklasifikasikan sebagai Backdoor.Win32.Sputnik, berhasil dideteksi, diblokir dan diremediasi oleh produk-produk Kaspersky Lab.

(sumber : kaspersky.com / Panda Security / chip.co.id / jurnalibukota) / Pustaka: Mobile Malware Evolution)

Posted in: cyber / komputer