Peneliti menemukan kampanye spionase global baru

Peneliti keamanan telah mengidentifikasi kampanye spionase cyber yang sedang berlangsung yang mengganggu 59 komputer milik organisasi pemerintah, lembaga penelitian, think tank dan perusahaan swasta dari 23 negara di 10 hari terakhir.

Kampanye serangan ditemukan dan dianalisis oleh peneliti dari firma keamanan Kaspersky Lab dan Laboratorium Kriptografi dan Keamanan Sistem (CrySyS) dari Universitas Teknologi dan Ekonomi Budapest.

Dijuluki MiniDuke, kampanye serangan menggunakan pesan email yang ditargetkan - teknik yang dikenal sebagai phishing tombak - yang membawa file PDF berbahaya yang dilengkapi dengan recen tly dipatch exploit untuk Adobe Reader 9, 10 dan 11.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Eksploitasi awalnya ditemukan dalam serangan aktif awal bulan ini oleh para peneliti keamanan dari FireEye dan mampu melewati perlindungan kotak pasir di Adobe Reader 10 dan 11. Adobe merilis patch keamanan untuk kerentanan yang ditargetkan oleh exploit pada 20 Februari.

Serangan MiniDuke baru menggunakan eksploit yang sama yang diidentifikasi oleh FireEye, tetapi dengan beberapa modifikasi lanjutan, mengatakan Costin Raiu, direktur tim riset dan analisis global Kaspersky Lab, pada hari Rabu. Hal ini dapat menunjukkan bahwa penyerang memiliki akses ke toolkit yang digunakan untuk membuat eksploit asli.

File PDF berbahaya adalah salinan laporan yang nakal dengan konten yang relevan dengan organisasi yang ditargetkan dan termasuk laporan tentang Pertemuan Asia-Eropa informal. (ASEM) seminar tentang hak asasi manusia, laporan tentang rencana aksi keanggotaan NATO Ukraina, laporan tentang kebijakan luar negeri regional Ukraina dan laporan tentang Asosiasi Ekonomi Armenia 2013, dan banyak lagi.

Jika eksploit berhasil, file PDF nakal memasang malware yang dienkripsi dengan informasi yang dikumpulkan dari sistem yang terpengaruh. Teknik enkripsi ini juga digunakan dalam malware gauss cyber-spionase dan mencegah malware dianalisa pada sistem yang berbeda, kata Raiu. Jika dijalankan pada komputer yang berbeda, malware akan dijalankan, tetapi tidak akan memulai fungsi jahatnya, katanya.

Aspek lain yang menarik dari ancaman ini adalah hanya berukuran 20KB dan ditulis dalam Assembler, sebuah metode yang jarang digunakan hari ini oleh pembuat konten malware. Ukurannya yang kecil juga tidak biasa jika dibandingkan dengan ukuran malware modern, kata Raiu. Ini menunjukkan bahwa para programmer adalah "sekolah tua," katanya.

Sepotong malware yang dipasang selama tahap pertama serangan ini terhubung ke akun Twitter tertentu yang berisi perintah terenkripsi yang menunjuk ke empat situs web yang bertindak sebagai perintah dan perintah. server kontrol. Situs web ini, yang dihosting di AS, Jerman, Prancis, dan Swiss, menghosting file GIF terenkripsi yang berisi program backdoor kedua.

Backdoor kedua adalah pembaruan untuk yang pertama dan menghubungkan kembali ke server perintah-dan-kontrol untuk mengunduh program backdoor lain yang secara unik dirancang untuk setiap korban. Pada hari Rabu, server perintah-dan-kontrol menjadi tuan rumah lima program backdoor yang berbeda untuk lima korban unik di Portugal, Ukraina, Jerman dan Belgia, kata Raiu. Program backdoor unik ini terhubung ke server perintah-dan-kontrol yang berbeda di Panama atau Turki, dan mereka memungkinkan penyerang untuk menjalankan perintah pada sistem yang terinfeksi.

Orang-orang di belakang kampanye spionase cyber MiniDuke telah beroperasi setidaknya sejak April 2012, ketika salah satu akun Twitter khusus pertama kali dibuat, kata Raiu. Namun, mungkin aktivitas mereka lebih halus sampai saat ini, ketika mereka memutuskan untuk memanfaatkan Adobe Reader baru untuk berkompromi sebanyak mungkin organisasi sebelum kerentanannya diperbaiki, katanya.

Malware yang digunakan dalam serangan baru itu unik dan belum pernah terlihat sebelumnya, sehingga kelompok itu mungkin telah menggunakan malware yang berbeda di masa lalu, kata Raiu. Dilihat oleh berbagai target dan sifat global dari serangan, para penyerang mungkin memiliki agenda besar, katanya.

Korban MiniDuke termasuk organisasi dari Belgia, Brasil, Bulgaria, Republik Ceko, Georgia, Jerman, Hungaria, Irlandia, Israel, Jepang, Latvia, Lebanon, Lithuania, Montenegro, Portugal, Rumania, Rusia, Slovenia, Spanyol, Turki, Ukraina, Inggris, dan Amerika Serikat.

Di Amerika Serikat, sebuah lembaga penelitian, dua pro-AS think tank dan perusahaan perawatan kesehatan telah terpengaruh oleh serangan ini, kata Raiu tanpa menyebut salah satu korban.

Serangan itu tidak secanggih Flame atau Stuxnet, tetapi tingkat tinggi tetap demikian, kata Raiu. Tidak ada indikasi mengenai di mana para penyerang mungkin beroperasi atau kepentingan apa yang mungkin mereka layani.

Yang mengatakan, gaya pengkodean backdoor mengingatkan pada sekelompok penulis malware yang dikenal sebagai 29A, diyakini telah mati sejak 2008. Ada "666" tanda tangan dalam kode dan 29A adalah representasi heksadesimal 666, kata Raiu.

Nilai "666" juga ditemukan pada malware yang digunakan dalam serangan sebelumnya yang dianalisis oleh FireEye, tetapi ancaman itu berbeda dari MiniDuke, Kata Raiu. Pertanyaan apakah kedua serangan itu terkait tetap terbuka.

Berita tentang kampanye spionase cyber ini muncul di tengah pembaharuan baru tentang ancaman spionase cyber China, khususnya di AS, yang didorong oleh laporan baru-baru ini dari perusahaan keamanan Mandiant. Laporan ini berisi rincian tentang aktivitas bertahun-tahun dari kelompok penyerang cyber yang dijuluki Crew Comment bahwa Mandiant percaya menjadi cyberunit rahasia Angkatan Darat Tiongkok. Pemerintah Cina telah menepis tuduhan itu, tetapi laporan itu secara luas diliput di media.

Raiu mengatakan bahwa tidak ada korban MiniDuke yang diidentifikasi sejauh ini berasal dari China, tetapi menolak untuk berspekulasi tentang pentingnya fakta ini. Pekan lalu, para peneliti keamanan dari perusahaan lain mengidentifikasi serangan yang ditargetkan yang mendistribusikan eksploitasi PDF yang sama dengan menyamar sebagai salinan laporan Mandiant.

Serangan-serangan itu memasang malware yang jelas-jelas berasal dari Cina, kata Raiu. Namun, cara eksploit digunakan dalam serangan itu sangat kasar dan malware itu tidak canggih ketika dibandingkan dengan MiniDuke, katanya.