TRIBUNNEWS.COM, JAKARTA - Selama beberapa tahun, Kaspersky Lab Global Research and Analysis Team (GReAT)  memantau lebih dari 60 pelaku ancaman canggih yang bertanggung jawab atas berbagai serangan cyber di seluruh dunia.

Tim telah melihat hampir semuanya, dengan bentuk serangan yang menjadi semakin kompleks karena semakin banyak negara-negara yang terlibat dan mencoba untuk mempersenjatai diri dengan alat yang paling canggih.

Namun, baru sekarang para ahli Kaspersky Lab dapat mengkonfirmasi mereka telah menemukan aktor ancaman yang melebihi apa yang diketahui dalam hal kompleksitas dan kecanggihan teknik, dan yang telah aktif selama hampir dua dekade - Equation Group.

Menurut peneliti Kaspersky Lab grup ini unik hampir di setiap aspek kegiatan mereka: mereka menggunakan alat yang sangat rumit dan mahal untuk dikembangkan, untuk menginfeksi korban, mengambil data dan menyembunyikan aktivitas dengan cara yang luar biasa profesional, dan memanfaatkan teknik mata-mata klasik untuk memberikan muatan berbahaya ke para korban.

Untuk menginfeksi korban-korban mereka, kelompok ini menggunakan senjata kuat "implan"(Trojan) termasuk yang berikut  ini dan telah diberi nama oleh Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny dan GrayFish. Tanpa diragukan lagi akan ada "implan" lainnya  yang bermunculan.

APA YANG MEMBUAT EQUATION GROUP UNIK?

Kegigihan Tingkat Tinggi dan Tidak Terdeteksi

GreAT berhasil memulihkan dua modul yang memungkinkan untuk pemrograman ulang firmware hard drive di lebih dari selusin merek HDD populer. Ini mungkin merupakan alat yang paling kuat di gudang persenjataan Equation Group dan sebagai malware pertama yang dikenal mampu menginfeksi hard drive.

Dengan memprogram ulang firmware hard drive (yaitu menulis ulang sistem operasi hard drive), kelompok mencapai dua tujuan:

1.     Kegigihan tingkat ini yang membantu untuk menyelamatkan disk yang terformat dan menginstalasi ulang OS. Jika malware masuk ke firmware, maka mampu untuk "menghidupkan kembali" malware tersebut selamanya. Malware ini dapat mencegah penghapusan sektor disk tertentu atau mengganti dengan yang berbahaya selama sistem boot.

"Hal berbahaya lainnya adalah sekali hard drive terinfeksi dengan payload berbahaya ini, maka mustahil untuk memindai firmware-nya. Untuk membuatnya lebih sederhana: sebagian besar hard drive memiliki fungsi untuk menulis ke hardware dari firmware area, tetapi tidak ada fungsi untuk membaca kembali. Ini berarti bahwa kita praktis buta, dan tidak dapat mendeteksi hard drive yang telah terinfeksi oleh malware ini" ujar Costin Raiu, Direktur Global Research and Analysis Team di Kaspersky Lab.

2.     Kemampuan untuk membuat sebuah area yang tidak terlihat serta gigih dan tersembunyi di dalam hard drive. Hal ini digunakan untuk menyimpan informasi exfiltrated yang kemudian hari dapat diambil oleh penyerang. Juga, dalam beberapa kasus mungkin membantu grup untuk memecahkan enkripsi: "Dengan mempertimbangkan fakta bahwa implan GrayFish mereka aktif sejak systembooting, mereka memiliki kemampuan untuk menangkap password enkripsi dan menyimpannya ke dalam area tersembunyi ini,"jelas Costin Raiu.

Kemampuan untuk mengambil data dari jaringan terisolasi

The Fanny wormyang paling menonjol dari semua serangan yang dilakukan oleh Equation Group. Tujuan utamanya adalah untuk memetakan jaringan air-gapped, dengan kata lain - untuk memahami topologi jaringan yang tidak dapat dicapai, dan menjalankan perintah untuk sistem-sistem terisolasi. Untuk ini, digunakan perintah dan kontrol mekanisme berbasis USB unik yang memungkinkan penyerang untuk mentransfer data secara bolak-balik dari jaringan air-gapped.

Secara khusus, sebuah USB stick yang terinfeksi dengan sebuah area penyimpanan tersembunyi yang dipergunakan untuk mengumpulkan informasi sistem dasar dari komputer yang  tidak terhubung ke Internet dan mengirimkannya ke C & C ketika USB stick dicolokkan ke komputer yang terinfeksi oleh Fanny dan memiliki koneksi Internet. Jika penyerang ingin menjalankan perintah pada jaringan air-gapped, mereka bisa menyimpan perintah ini di area tersembunyi USB stick. Ketika USB itu dicolokkan ke komputer yang air-gapped, Fanny menkonfirmasi perintah dan melaksanakannya.

Metode spionase klasik untuk memasukkan malware

Para penyerang menggunakan metode yang universal untuk menginfeksi target: tidak hanya melalui web, tetapi juga di dunia nyata. Untuk itu mereka menggunakan teknik-larangan mencegat barang fisik dan menggantinya dengan versi terinfeksi Trojan. Salah satu contohnya adalah menargetkan peserta pada konferensi ilmiah di Houston: setelah kembali ke rumah, beberapa peserta menerima salinan materi konferensi pada CD-ROM yang kemudian dipergunakan untuk menginstal implan DoubleFantasyke dalam perangkat target. Untuk metodeyang digunakan hingga CD tersebut interdicted tidak diketahui.

SERANGAN SEJENIS: STUXNET DAN FLAME

Terdapat hubungan yang solid yang menunjukkan bahwa Equation Group berinteraksi dengan kelompok-kelompok kuat lainnya, seperti operator Stuxnet dan Flame- yang umumnya berasal dari posisi superioritas. Equation group memiliki akses ke zero-days sebelum mereka digunakan oleh Stuxnet dan Flame, dan pada titik tertentu mereka berbagi eksploitasi dengan yang lainnya.

Sebagai contoh, pada tahun 2008 Fanny menggunakan dua zero-days yang diperkenalkan ke Stuxnet pada bulan Juni 2009 dan Maret 2010. Salah satu dari zero-days yang berada di Stuxnet sebenarnya Flame module yang memanfaatkan kerentanan dan yang sama yang diambil langsung dari platform Flame dan dikembangkan di Stuxnet.

KUAT DAN DISTRIBUSIKAN KE INFRASTRUKTUR DI BERBAGAI NEGARA

Equation group menggunakan infrastruktur C & C yang luas yang mencakup lebih dari 300 domain dan lebih dari 100 server. Server yang di-host ada di beberapa negara, termasuk Amerika Serikat, Inggris, Italia, Jerman, Belanda, Panama, Kosta Rika, Malaysia, Kolombia, dan Republik Ceko. Kaspersky Lab saat ini sinkholing beberapa lusin dari 300 C & C server.

Sedangkan para korban Equation group yang diamati di lebih dari 30 negara, termasuk Iran, Rusia, Suriah, Afghanistan, Kazakhstan, Belgia, Somalia, Hong Kong, Libya, Uni Emirat Arab, Irak, Nigeria, Ekuador, Meksiko, Malaysia, Amerika Serikat , Sudan, Lebanon, Palestina, Perancis, Jerman, Singapura, Qatar, Pakistan, Yaman, Mali, Swiss, Bangladesh, Afrika Selatan, Filipina, Inggris, India dan Brazil.

RIBUAN KORBAN PARA EKSEKUTIF GLOBAL

Sejak tahun 2001, Equation group sibukmenginfeksiribuan atau bahkan puluhan ribu korban di lebih dari 30 negara di seluruh dunia, yang meliputi sektor berikut: Pemerintah dan lembaga-lembaga diplomatik, telekomunikasi, dirgantara, energi, penelitian nuklir, minyak dan gas, militer, nanoteknologi, aktivis dan ulama Islam, media massa, transportasi, lembaga keuangan dan perusahaan yang mengembangkan teknologi enkripsi.

DETEKSI

Kaspersky Lab mengamati tujuh eksploitasi yang digunakan oleh Equation group di malware mereka. Setidaknya empat dari tujuh digunakan sebagai zero-days. Selain itu, penggunaan eksploitasi yang tidak diketahui masih diamati, kemungkinan zero-days, pada Firefox 17, seperti yang digunakan dalam browser Tor.

Selama tahap infeksi, grup ini memiliki kemampuan untuk menggunakan sepuluh eksploitasi dalam rantai. Namun para ahli Kaspersky Lab mengamati bahwa tidak lebih dari tiga yang digunakan: jika yang pertama tidak berhasil, mereka mencoba dengan yang lainnya, dan kemudian dengan yang ketiga. Jika ketiga eksploitasi gagal, mereka tidak menginfeksi sistem.

Produk Kaspersky Lab mendeteksi sejumlah upaya untuk menyerang para penggunanya. Banyak serangan ini tidak berhasil karena teknologi Automatic Exploit Prevention yang secara umum mendeteksi dan memblok eksploitasi kerentanan tidak diketahui. Fanny worm, kemungkinan disusun pada bulan Juli 2008, pertama kali terdeteksi dan di blacklist oleh sistem otomatis kami pada bulan Desember 2008.

Untuk mempelajari lebih lanjut tentang Equation Group, silakan baca posting blog yang tersedia di Securelist.com.