TABLOIDLUGAS.COM | Tim riset keamanan Kaspersky Lab mengumumkan pengungkapan “The Mask” (alias Careto), ancaman canggih yang menggunakan bahasa Spanyol yang terlibat dalam kegiatan mata-mata cyber global paling tidak sejak 2007. Yang membuat “The Mask” istimewa adalah betapa kompleksnya toolset yang digunakan oleh para pelaku, yang mencakup malware yang sangat canggih, rootkit, bootkit, berbagai versi Mac OS X dan Linux serta kemungkinan juga berbagai versi untuk Android dan iOS (iPad/iPhone).
Target utama mereka adalah lembaga pemerintah, kantor diplomatik dan kedutaan besar, perusahaan energi dan migas, lembaga penelitian dan aktivis. Korban serangan tertarget ini telah ditemukan di 31 negara di seluruh dunia – mulai dari Timur Tengah dan Eropa hingga Afrika dan Amerika.
Tujuan utama para pelaku adalah mengumpulkan data sensitif dari sistem yang terinfeksi. Data ini termasuk dokumen-dokumen kantor serta berbagai kunci enkripsi, konfigurasi VPN, kunci SSH (digunakan untuk mengidentifikasi pengguna ke server SSH) dan file RDP (digunakan oleh Remote Desktop Client untuk secara otomatis membuka koneksi ke komputer yang disasar).
“Beberapa alasan membuat kami yakin bahwa kegiatan mata-mata ini bisa jadi sebuah kegiatan yang dibiayai oleh negara (state-sponsored). Pertama, kami mengamati adanya tingkat profesionalitas yang sangat tinggi dalam prosedur operasi kelompok penyerang ini. Mulai dari manajemen infrastruktur, penutupan operasi, menghindar dari mereka yang penasaran melalui access rules dan file log mereka tidak sekadar dihapus (delete) tetapi di-overwrite (wiping)[1]. Semua gabungan hal ini membuat APT ini berada di atas Duqu dalam hal kecanggihan, dan membuatnya menjadi ancaman paling canggih yang ada saat ini,” terang Costin Raiu, Director of the Global Research and Analysis Team (GReAT), Kaspersky Lab. “Tingkat keamanan operasi seperti ini tidak lazim untuk sebuah kelompok penjahat cyber,” tambahnya.
Para peneliti Kaspersky Lab pertama kali mulai menyadari kehadiran Careto pada tahun lalu ketika mengamati sebuah usaha untuk mengeksploitasi kerentanan produk Kaspersky Lab yang telah diperbaiki lima tahun lalu. Ekploitasi tersebut memberikan malware kemampuan untuk menghindari pendeteksian. Hal ini tentu saja langsung menarik perhatian para peneliti Kaspersky Lab dan dimulailah penyelidikan terhadap kegiatan tersebut.
Bagi para korbannya, infeksi Careto sangat merusak. Careto mengintersepsi seluruh kanal komunikasi dan mengumpulkan informasi paling penting dari komputer korban. Pendeteksian sangat sulit dilakukan karena kemampuan laten rootkit, fungsionalitas built-in dan modul mata-mata cyber tambahan.
Temuan Utama:
- Para penulis malware sepertinya sangat fasih berbahasa Spanyol (bahasa Spanyol sebagai bahasa ibu) dan ini sangat jarang ditemui dalam serangan-serangan APT
- Kegiatan mata-mata ini aktif paling tidak selama lima tahun hingga Januari 2014 (beberapa sampel Careto dikumpulkan pada 2007). Sepanjang penyelidikan oleh Kaspersky Lab, server command-and-control (CC) mati
- Di antara 1000 lebih IP, Kaspersky Lab menghitung ada 380 korban unik/istimewa. Infeksi ditemukan di Afrika Selatan, Aljazair, Amerika Serikat, Argentina, Belgia, Bolivia, Brazil, China, Gibraltar, Guatemala, Inggris, Iran, Irak, Jerman, Kolombia, Kosta Rika, Kuba, Libya, Malaysia, Maroko, Meksiko, Mesir, Norwegia, Perancis, Pakistan, Polandia, Spanyol, Swiss, Tunisia, Turki, dan Venezuela.
- Kompleksitas dan universalitas toolset yang digunakan para pelaku membuat kegiatan mata-mata cyber ini sangat istimewa. Hal ini mencakup pemanfaatan eksploitasi high-end, malware yang sangat canggih, rootkit, bootkit, berbagai versi Mac OS X dan Linux serta kemungkinan berbagai versi untuk Android dan iPad/iPhone (iOS). “The Mask” juga menggunakan serangan khusus (customized) untuk produk-produk Kaspersky Lab.
- Di antara vektor para pelaku, setidaknya satu eksploitasi Adobe Flash Player (CVE-2012-0773) terlihat digunakan. Eksploitasi tersebut didesain untuk Flash Player versi sebelum 10.3 dan 11.2. Eksploitasi ini awalnya ditemukan oleh VUPEN dan digunakan pada 2012 untuk menghindari sandbox Google Chrome untuk memenangkan kompetisi CanSecWest Pwn2Own.
Cara Penginfeksian & Fungsionalitas
Berdasarkan laporan analisis Kaspersky Lab, kegiatan “The Mask” mengandalkan email spear-phishing dengan tautan ke situs berbahaya. Situs tersebut berisi sejumlah eksploitasi yang didesain untuk menginfeksi pengunjung situs, bergantung pada konfigurasi sistem. Setelah infeksi berhasil dilakukan, situs berbahaya tersebut akan mengalihkan pengguna ke situs tak berbahaya yang ada di dalam email, misalnya ke laman film di YouTube atau portal berita.
Penting untuk dicatat bahwa situs yang dieksploitasi tidak otomatis menginfeksi pengunjung situs tersebut. Namun para pelaku menempatkan eksploitasi di folder tertentu di dalam situs, yang tidak langsung merujuk kemana pun, selain ke email berbahaya. Terkadang, para pelaku menggunakan subdomain pada situs yang dieksploitasi, untuk membuatnya terlihat lebih ‘nyata’. Subdomain ini meniru subseksi koran-koran utama di Spanyol serta beberapa koran internasional seperti “The Guardian” dan “Washington Post”.
Seperti telah disebutkan di atas, Careto mengintersepsi seluruh kanal komunikasi dan mengumpulkan informasi paling penting dari komputer yang terinfeksi. Pendeteksian sangat sulit dilakukan karena kemampuan laten rootkit. Careto adalah sistem yang sangat modular yang mendukung plugin dan file konfigurasi, dan memungkinkan Careto menjalankan berbagai fungsi. Selain fungsionalitas built-in, operator Careto juga mampu mengunggah modul tambahan yang bisa menjalankan tugas berbahaya apa pun.
Produk-produk Kaspersky Lab mendeteksi dan menghapus seluruh versi malware “The Mask”/Careto yang diidentifikasi. (L/Salman)
Target utama mereka adalah lembaga pemerintah, kantor diplomatik dan kedutaan besar, perusahaan energi dan migas, lembaga penelitian dan aktivis. Korban serangan tertarget ini telah ditemukan di 31 negara di seluruh dunia – mulai dari Timur Tengah dan Eropa hingga Afrika dan Amerika.
Tujuan utama para pelaku adalah mengumpulkan data sensitif dari sistem yang terinfeksi. Data ini termasuk dokumen-dokumen kantor serta berbagai kunci enkripsi, konfigurasi VPN, kunci SSH (digunakan untuk mengidentifikasi pengguna ke server SSH) dan file RDP (digunakan oleh Remote Desktop Client untuk secara otomatis membuka koneksi ke komputer yang disasar).
“Beberapa alasan membuat kami yakin bahwa kegiatan mata-mata ini bisa jadi sebuah kegiatan yang dibiayai oleh negara (state-sponsored). Pertama, kami mengamati adanya tingkat profesionalitas yang sangat tinggi dalam prosedur operasi kelompok penyerang ini. Mulai dari manajemen infrastruktur, penutupan operasi, menghindar dari mereka yang penasaran melalui access rules dan file log mereka tidak sekadar dihapus (delete) tetapi di-overwrite (wiping)[1]. Semua gabungan hal ini membuat APT ini berada di atas Duqu dalam hal kecanggihan, dan membuatnya menjadi ancaman paling canggih yang ada saat ini,” terang Costin Raiu, Director of the Global Research and Analysis Team (GReAT), Kaspersky Lab. “Tingkat keamanan operasi seperti ini tidak lazim untuk sebuah kelompok penjahat cyber,” tambahnya.
Para peneliti Kaspersky Lab pertama kali mulai menyadari kehadiran Careto pada tahun lalu ketika mengamati sebuah usaha untuk mengeksploitasi kerentanan produk Kaspersky Lab yang telah diperbaiki lima tahun lalu. Ekploitasi tersebut memberikan malware kemampuan untuk menghindari pendeteksian. Hal ini tentu saja langsung menarik perhatian para peneliti Kaspersky Lab dan dimulailah penyelidikan terhadap kegiatan tersebut.
Bagi para korbannya, infeksi Careto sangat merusak. Careto mengintersepsi seluruh kanal komunikasi dan mengumpulkan informasi paling penting dari komputer korban. Pendeteksian sangat sulit dilakukan karena kemampuan laten rootkit, fungsionalitas built-in dan modul mata-mata cyber tambahan.
Temuan Utama:
- Para penulis malware sepertinya sangat fasih berbahasa Spanyol (bahasa Spanyol sebagai bahasa ibu) dan ini sangat jarang ditemui dalam serangan-serangan APT
- Kegiatan mata-mata ini aktif paling tidak selama lima tahun hingga Januari 2014 (beberapa sampel Careto dikumpulkan pada 2007). Sepanjang penyelidikan oleh Kaspersky Lab, server command-and-control (CC) mati
- Di antara 1000 lebih IP, Kaspersky Lab menghitung ada 380 korban unik/istimewa. Infeksi ditemukan di Afrika Selatan, Aljazair, Amerika Serikat, Argentina, Belgia, Bolivia, Brazil, China, Gibraltar, Guatemala, Inggris, Iran, Irak, Jerman, Kolombia, Kosta Rika, Kuba, Libya, Malaysia, Maroko, Meksiko, Mesir, Norwegia, Perancis, Pakistan, Polandia, Spanyol, Swiss, Tunisia, Turki, dan Venezuela.
- Kompleksitas dan universalitas toolset yang digunakan para pelaku membuat kegiatan mata-mata cyber ini sangat istimewa. Hal ini mencakup pemanfaatan eksploitasi high-end, malware yang sangat canggih, rootkit, bootkit, berbagai versi Mac OS X dan Linux serta kemungkinan berbagai versi untuk Android dan iPad/iPhone (iOS). “The Mask” juga menggunakan serangan khusus (customized) untuk produk-produk Kaspersky Lab.
- Di antara vektor para pelaku, setidaknya satu eksploitasi Adobe Flash Player (CVE-2012-0773) terlihat digunakan. Eksploitasi tersebut didesain untuk Flash Player versi sebelum 10.3 dan 11.2. Eksploitasi ini awalnya ditemukan oleh VUPEN dan digunakan pada 2012 untuk menghindari sandbox Google Chrome untuk memenangkan kompetisi CanSecWest Pwn2Own.
Cara Penginfeksian & Fungsionalitas
Berdasarkan laporan analisis Kaspersky Lab, kegiatan “The Mask” mengandalkan email spear-phishing dengan tautan ke situs berbahaya. Situs tersebut berisi sejumlah eksploitasi yang didesain untuk menginfeksi pengunjung situs, bergantung pada konfigurasi sistem. Setelah infeksi berhasil dilakukan, situs berbahaya tersebut akan mengalihkan pengguna ke situs tak berbahaya yang ada di dalam email, misalnya ke laman film di YouTube atau portal berita.
Penting untuk dicatat bahwa situs yang dieksploitasi tidak otomatis menginfeksi pengunjung situs tersebut. Namun para pelaku menempatkan eksploitasi di folder tertentu di dalam situs, yang tidak langsung merujuk kemana pun, selain ke email berbahaya. Terkadang, para pelaku menggunakan subdomain pada situs yang dieksploitasi, untuk membuatnya terlihat lebih ‘nyata’. Subdomain ini meniru subseksi koran-koran utama di Spanyol serta beberapa koran internasional seperti “The Guardian” dan “Washington Post”.
Seperti telah disebutkan di atas, Careto mengintersepsi seluruh kanal komunikasi dan mengumpulkan informasi paling penting dari komputer yang terinfeksi. Pendeteksian sangat sulit dilakukan karena kemampuan laten rootkit. Careto adalah sistem yang sangat modular yang mendukung plugin dan file konfigurasi, dan memungkinkan Careto menjalankan berbagai fungsi. Selain fungsionalitas built-in, operator Careto juga mampu mengunggah modul tambahan yang bisa menjalankan tugas berbahaya apa pun.
Produk-produk Kaspersky Lab mendeteksi dan menghapus seluruh versi malware “The Mask”/Careto yang diidentifikasi. (L/Salman)
Tidak ada komentar