Malware Oktober Merah yang ditemukan setelah bertahun-tahun mencuri data di alam liar

Sebuah kelompok peretas bayangan telah menyedot data intelijen di seluruh dunia dari jaringan komputer penelitian diplomatik, pemerintah, dan ilmiah selama lebih dari lima tahun, termasuk target di Amerika Serikat, menurut sebuah laporan dari Kaspersky Lab.

Kaspersky Lab mulai meneliti serangan malware pada bulan Oktober dan menjuluki mereka "Rocra," kependekan dari "Red October." Rocra menggunakan sejumlah kerentanan keamanan dalam jenis dokumen Microsoft Excel, Word, dan PDF untuk menginfeksi PC, smartphone, dan peralatan jaringan komputer. Pada Selasa, para peneliti menemukan bahwa platform malware juga menggunakan eksploitasi Java berbasis web.

Tidak jelas siapa yang berada di balik serangan itu, tetapi Rocra menggunakan setidaknya tiga eksploitasi yang diketahui secara publik yang dibuat oleh peretas China. Pemrograman Rocra, bagaimanapun, tampaknya berasal dari kelompok yang terpisah dari koperasi berbahasa Rusia, menurut laporan dari Kaspersky Lab.

[Bacaan lebih lanjut: PC baru Anda membutuhkan 15 program gratis, sangat baik ini]

Serangannya adalah sedang berlangsung dan ditargetkan di lembaga-lembaga tingkat tinggi dalam apa yang dikenal sebagai serangan tombak-memancing. Kaspersky memperkirakan bahwa serangan Oktober Merah kemungkinan telah memperoleh ratusan terabyte data pada saat itu telah beroperasi, yang bisa pada awal Mei 2007.

Infeksi Rocra ditemukan di lebih dari 300 negara antara tahun 2011 dan 2012, berdasarkan informasi dari produk antivirus Kaspersky. Negara-negara yang terkena dampak adalah mantan anggota Uni Soviet, termasuk Rusia (35 infeksi), Kazakhstan (21), dan Azerbaijan (15).

Negara-negara lain dengan jumlah infeksi yang tinggi termasuk Belgia (15), India (14), Afghanistan (10), dan Armenia (10). Enam infeksi ditemukan di kedutaan besar yang berlokasi di Amerika Serikat. Karena angka-angka ini datang hanya dari mesin yang menggunakan perangkat lunak Kaspersky, jumlah infeksi sebenarnya bisa jauh lebih tinggi.

Ambil semuanya

Kaspersky mengatakan malware yang digunakan di Rocra dapat mencuri data dari PC workstations dan smartphone yang terhubung ke PC termasuk Ponsel iPhone, Nokia, dan Windows Mobile. Rocra dapat memperoleh informasi konfigurasi jaringan dari peralatan bermerek Cisco, dan mengambil file dari drive disk yang dapat dilepas termasuk data yang dihapus.

Platform malware juga dapat mencuri pesan e-mail dan lampiran, mencatat semua penekanan tombol pada mesin yang terinfeksi, mengambil screenshot, dan ambil riwayat penelusuran dari Chrome, Firefox, Internet Explorer, dan browser Web Opera. Seakan itu tidak cukup, Rocra juga mengambil file yang disimpan di server FTP jaringan lokal dan dapat mereplikasi dirinya sendiri di jaringan lokal.

Par untuk kursus

Meskipun kemampuan Rocra tampak luas, tidak semua orang di bidang keamanan terkesan dengan metode serangan Rocra. "Tampaknya eksploitasi yang digunakan tidak maju dengan cara apa pun," kata perusahaan keamanan F-Secure di blog perusahaannya. “Para penyerang menggunakan Word, Excel, dan eksploitasi Java yang lama dan terkenal. Sejauh ini, tidak ada tanda-tanda kerentanan zero-day yang digunakan. ”Kerentanan zero-day mengacu pada eksploitasi yang sebelumnya tidak diketahui yang ditemukan di alam liar.

Meskipun tidak terkesan oleh kapasitas teknisnya, F-Secure mengatakan serangan Oktober Merah menarik karena lamanya waktu Rocra telah aktif dan skala spionase dilakukan oleh satu kelompok. "Namun," tambah F-Secure. "Kebenaran yang menyedihkan adalah bahwa perusahaan dan pemerintah terus-menerus mengalami serangan serupa dari berbagai sumber yang berbeda."

Rocra dimulai ketika seorang korban mengunduh dan membuka file produktivitas berbahaya (Excel, Word, PDF) yang kemudian dapat mengambil lebih banyak malware dari Rocra server perintah-dan-kontrol, metode yang dikenal sebagai troli Trojan. Rangkaian malware kedua ini termasuk program yang mengumpulkan data dan mengirim informasi itu kembali ke peretas.

Data yang dicuri dapat mencakup jenis file sehari-hari seperti teks biasa, teks kaya, Word, dan Excel, tetapi serangan Red October juga pergi setelah data kriptografi seperti pgp dan file terenkripsi gpg.

Selain itu, Rocra mencari file yang menggunakan "Acid Cryptofile" ekstensi, yang merupakan perangkat lunak kriptografi yang digunakan oleh pemerintah dan organisasi termasuk Uni Eropa dan Organisasi Perjanjian Atlantik Utara. Tidak jelas apakah orang-orang di belakang Rocra mampu mengartikan data terenkripsi yang mereka peroleh.

E-mail kelahiran kembali

Rocra juga sangat tahan terhadap gangguan dari penegakan hukum, menurut Kaspersky. Jika server perintah-dan-kontrol kampanye ditutup, peretas telah merancang sistem sehingga mereka dapat memperoleh kembali kendali atas platform malware mereka dengan e-mail sederhana.

Salah satu komponen Rocra mencari dokumen PDF atau Office yang masuk yang berisi kode yang dapat dieksekusi dan ditandai dengan tag metadata khusus. Dokumen ini akan lulus semua pemeriksaan keamanan, Kaspersky mengatakan, tetapi setelah itu diunduh dan dibuka, Rocra dapat memulai aplikasi jahat yang melekat pada dokumen dan terus memasukkan data ke orang-orang jahat. Menggunakan trik ini, yang harus dilakukan oleh semua peretas adalah menyiapkan beberapa server baru dan mengirim dokumen berbahaya kepada korban sebelumnya untuk mendapatkan kembali bisnis.

Server Rocra diatur sebagai serangkaian proxy (server bersembunyi di balik server lain), yang membuatnya lebih sulit untuk menemukan sumber serangan. Kasperksy mengatakan kompleksitas infrastruktur Rocra menyaingi malware Flame, yang juga digunakan untuk menginfeksi PC dan mencuri data sensitif. Tidak ada koneksi yang diketahui antara Rocra, Flame, atau malware seperti Duqu, yang dibangun di atas kode yang mirip dengan Stuxnet.

Seperti dicatat oleh F-Secure, serangan Oktober Merah tampaknya tidak melakukan sesuatu yang baru, tetapi jumlah waktu kampanye malware ini di alam liar sangat mengesankan. Mirip dengan kampanye spionase dunia maya lainnya seperti Flame, Red October mengandalkan pembodohan pengguna untuk mengunduh dan membuka file berbahaya atau mengunjungi situs web berbahaya tempat kode dapat disuntikkan ke perangkat mereka. Hal ini menunjukkan bahwa sementara spionase komputer mungkin meningkat, dasar-dasar keamanan komputer dapat pergi jauh untuk mencegah serangan ini.

Lakukan tindakan pencegahan

Tindakan pencegahan yang berguna seperti berhati-hati terhadap file dari pengirim yang tidak dikenal atau mengawasi keluar untuk file yang tidak memiliki karakter dari pengirim yang mereka utarakan adalah awal yang baik. Ini juga berguna untuk berhati-hati mengunjungi situs web yang tidak Anda ketahui atau percayai, terutama saat menggunakan peralatan perusahaan. Akhirnya, pastikan Anda memiliki semua pembaruan keamanan terbaru untuk versi Windows Anda, dan pertimbangkan untuk mematikan Java kecuali Anda benar-benar membutuhkannya. Anda mungkin tidak dapat mencegah segala macam serangan, tetapi mengikuti praktik keamanan dasar dapat melindungi Anda dari banyak pelaku buruk secara online.

Kaspersky mengatakan tidak jelas apakah serangan Oktober Merah adalah karya dari negara bangsa atau penjahat yang mencari untuk menjual data sensitif di pasar gelap. Perusahaan keamanan berencana untuk merilis lebih banyak informasi tentang Rocra dalam beberapa hari mendatang.

Jika Anda khawatir tentang apakah sistem Anda terpengaruh oleh Rocra, F-Secure mengatakan perangkat lunak antivirusnya dapat mendeteksi eksploit yang saat ini diketahui digunakan dalam Serangan Oktober Merah. Perangkat lunak antivirus Kaspersky juga dapat mendeteksi ancaman dari Rocra.