TRIBUNNEWS.COM, JAKARTA - Kaspersky Lab Global Research and Analysis Team telah menerbitkan sebuah laporan yang menjelaskan adanya sebuah tindakan spionase cyber baru yang canggih dengan menggunakan malware untuk memukul target yang sangat spesifik dan merupakan eksekutif penting.
Target dari malware ini termasuk AS dan diyakini termasuk Gedung Putih dan Departemen Luar Negeri, sementara itu daftar target dari penyerang ini juga termasuk organisasi pemerintahan dan perusahaan komersial di Jerman, Korea Selatan dan Uzbekistan.
Di samping sasaran yang sangat tepat, korbannya adalah para eksekutif penting, aktor dibalik ancaman ini juga menunjukkan hal mengkhawatirkan lainnya dan bisa dikatakan bahwa fitur ini merupakan sisi menariknya. Serangan ini menggunakan kemampuan kripto dan anti-deteksi.
Sebagai contoh, kode akan mendeteksi kehadiran beberapa produk keamanan untuk mencoba menghindari produk keamanan ini, yaitu: Kaspersky Lab, Sophos, Dr Web, Avira, Crystal dan Comodo Dragon.
Koneksi Dengan Aktor Spionase Cyber Lainnya
Ahli keamanan Kaspersky Lab menemukan fungsi program jahat yang kuat, serta kesamaan struktural yang cocok antara toolset ini dengan tindakan spionase cyber MiniDuke, CosmicDuke dan OnionDuke; operasi tersebut, menurut sejumlah indikator, diyakini dilakukan oleh aktor ancaman berbahasa Rusia.
Pengamatan Kaspersky Lab menunjukkan bahwa MiniDuke dan CosmicDuke masih aktif dan menargetkan diplomatik organisasi / kedutaan, perusahaan energi, minyak dan gas, telekomunikasi, militer, dan lembaga akademisi / penelitian di sejumlah negara.
Metode Distribusi
Aktor dibalik CozyDuke sering melakukan spearphishes ke target dengan cara mengirimkan email yang berisi link ke website yang telas diretas – bahkan kadang-kadang kepada eksekutif penting, contoh yang sah seperti 'diplomacy.pl' - yang menjadi host sebuah arsip ZIP diperlengkapi dengan malware.
Dalam operasi sangat sukses lainnya, aktor ini mengirimkan flash video palsu dengan executable berbahaya dimasukkan dalam lampiran email.
CozyDuke menggunakan sebuah backdoor dan dropper. Program jahat tersebut mengirimkan informasi tentang target kepada server command and control, dan mengambil file konfigurasi dan modul tambahan untuk melaksanakan setiap fungsi tambahan yang diperlukan oleh penyerang.
"Kami telah memantau baik MiniDuke dan CosmicDuke selama beberapa tahun. Kaspersky Lab adalah pihak pertama yang memperingatkan tentang serangan MiniDuke ini pada 2013, dengan bukti sampel "tertua" dari ancaman dunia maya ini yang didapatkan Kaspersky Lab pada 2008. Pastilah CozyDuke terhubung dengan dua tindakan spionase ini serta operasi spionase cyber OnionDuke. Setiap satu dari para pelaku ancaman tersebut terus melacak target mereka, dan kami percaya alat-alat spionase mereka semua diciptakan dan dikelola oleh pelaku berbahasa Rusia," ungkap Kurt Baumgartner, Principal Security Researcher di Kaspersky Lab Global Research dan Analisis Tim.
Produk Kaspersky Lab mendeteksi semua sampel yang diketahui dan melindungi penggunanya terhadap ancaman ini.
Tips Untuk Pengguna Internet
· Jangan membuka lampiran dan link dari orang yang Anda tidak ketahui
· Secara teratur memindai PC Anda dengan solusi anti malware yang canggih
· Waspadalah terhadap arsip ZIP dengan file SFX di dalamnya
· Jika Anda tidak yakin tentang lampiran tersebut, cobalah untuk membukanya di sandbox
· Pastikan Anda memiliki sistem operasi modern dengan semua patch diinstal
· Perbaharui semua aplikasi pihak ketiga seperti Microsoft Office, Java, Adobe Flash Player dan Adobe Reader
Untuk mempelajari lebih lanjut tentang serangan "CozyDuke", silakan baca postingan blog yang tersedia di Securelist.com.