Video: Lakukan Ini jika Orang Tak Dikenal Membuntutimu (Oktober 2024)
Peneliti Kaspersky Lab mengungkap operasi spionase dunia maya terhadap pemerintah, energi, minyak, dan organisasi gas di seluruh dunia menggunakan berbagai alat paling canggih yang terlihat hingga saat ini. Perusahaan mengatakan bahwa operasi memiliki semua ciri sebagai serangan negara-bangsa.
Costin Raiu, direktur tim riset dan analisis global di Kaspersky Lab, dan timnya membuka kedok rincian di balik "The Mask" di KTT Analis Keamanan Kaspersky Lab, Senin, menggambarkan bagaimana operasi menggunakan rootkit, bootkit, dan malware yang dirancang untuk Windows, Mac OS X, dan Linux. Bahkan mungkin ada versi Android dan iOS dari malware yang digunakan, kata tim itu. Dengan semua indikator, The Mask adalah kampanye negara-bangsa elit, dan strukturnya bahkan lebih canggih daripada kampanye Flame yang terkait dengan Stuxnet.
"Ini adalah salah satu yang terbaik yang pernah saya lihat. Sebelumnya, kelompok APT terbaik adalah yang di belakang Flame, tetapi sekarang hal itu mengubah pendapat saya karena cara mengelola infrastruktur dan cara mereka bereaksi terhadap ancaman dan kecepatan reaksi dan profesionalisme, "Kata Raiu. Topeng "melampaui Api dan apa pun yang telah kita lihat sejauh ini."
Operasi tidak terdeteksi selama sekitar lima tahun dan berdampak pada 380 korban tentang lebih dari 1.000 alamat IP yang ditargetkan milik entitas pemerintah, kantor diplomatik dan kedutaan besar, lembaga penelitian, dan aktivis. Daftar negara yang terkena dampaknya panjang, termasuk Aljazair, Argentina, Belgia, Bolivia, Brasil, Cina, Kolombia, Kosta Rika, Kuba, Mesir, Prancis, Jerman, Gibraltar, Guatemala, Iran, Irak, Libya, Malaysia, Meksiko, Maroko, Norwegia, Pakistan, Polandia, Afrika Selatan, Spanyol, Swiss, Tunisia, Turki, Inggris, Amerika Serikat, dan Venezuela.
Membuka Kemasan Masker
Mask, juga bernama Careto, mencuri dokumen dan kunci enkripsi, informasi konfigurasi untuk Virtual Private Networks (VPN), kunci untuk Secure Shell (SSH), dan file untuk Remote Desktop Client. Itu juga menghapus jejak aktivitasnya dari log. Kaspersky Lab mengatakan malware itu memiliki arsitektur modular dan mendukung plug-in dan file konfigurasi. Itu juga dapat diperbarui dengan modul baru. Malware ini juga mencoba mengeksploitasi perangkat lunak keamanan Kaspersky versi lama.
"Ia mencoba menyalahgunakan salah satu komponen kami untuk bersembunyi, " kata Raiu.
Serangan dimulai dengan email spear-phishing dengan tautan ke URL jahat yang menampung banyak eksploitasi sebelum akhirnya mengirim pengguna ke situs yang sah yang dirujuk dalam badan pesan. Pada titik ini, penyerang memiliki kendali atas komunikasi mesin yang terinfeksi.
Penyerang menggunakan exploit yang menargetkan kerentanan di Adobe Flash Player yang memungkinkan penyerang kemudian memotong kotak pasir di Google Chrome. Kerentanan pertama kali berhasil dieksploitasi selama kontes Pwn2Own di CanSecWest kembali pada tahun 2012 oleh broker kerentanan Perancis VUPEN. VUPEN menolak untuk mengungkapkan rincian bagaimana melakukan serangan itu, mengatakan mereka ingin menyimpannya untuk pelanggan mereka. Raiu tidak langsung mengatakan bahwa exploit yang digunakan dalam The Mask sama dengan VUPEN, tetapi mengkonfirmasi bahwa itu adalah kerentanan yang sama. "Mungkin seseorang yang mengeksploitasi dirinya sendiri, " kata Raiu.
VUPEN turun ke Twitter untuk menyangkal eksploitnya telah digunakan dalam operasi ini, dengan mengatakan, "Pernyataan resmi kami tentang #Mask: eksploit itu bukan milik kami, mungkin itu ditemukan dengan membedakan tambalan yang dirilis oleh Adobe setelah # Pwn2Own." Dengan kata lain, para penyerang membandingkan Flash Player yang ditambal dengan edisi yang tidak ditambal, menghapus perbedaan, dan menyimpulkan sifat dari eksploit tersebut.
Dimana Topeng Sekarang?
Ketika Kaspersky memposting teaser The Mask di blognya minggu lalu, para penyerang mulai mematikan operasi mereka, kata Raiu. Fakta bahwa penyerang mampu mematikan infrastruktur mereka dalam waktu empat jam setelah Kaspersky menerbitkan teaser menunjukkan penyerang benar-benar profesional, kata Jaime Blasco, direktur penelitian di AlienVault Labs.
Sementara Kaspersky Lab telah mematikan server perintah-dan-kontrol yang ditemukannya terkait dengan operasi dan Apple mematikan domain yang terkait dengan eksploitasi versi Mac, Raiu percaya mereka hanyalah "potret" dari keseluruhan infrastruktur. "Aku curiga kita melihat jendela yang sangat sempit dalam operasi mereka, " kata Raiu.
Meskipun mudah untuk mengasumsikan bahwa karena ada komentar dalam kode dalam bahasa Spanyol bahwa penyerang berasal dari negara berbahasa Spanyol, Raiu menunjukkan bahwa penyerang dapat dengan mudah menggunakan bahasa yang berbeda sebagai bendera merah untuk mengusir penyelidik keluar jalur. Di mana Topeng itu sekarang? Kami hanya tidak tahu.
