TRIBUNNEWS.COM - Pada bulan September 2015, Platform Anti-Targeted Attack milik Kaspersky Lab memberikan peringatan terhadap fitur yang tidak biasa di jaringan bisnis milik klien perusahaan.

Anomali ini mengantarkan para peneliti Kaspersky Lab ke 'ProjectSauron', sebuah kelompok penjahat siber yang disokong oleh sebuah negara dan menyerang organisasi di negara lain dengan seperangkat alat yang unik untuk  setiap korbannya, sehingga membuat indikator tradisional terhadap peretasan menjadi tidak berguna. Tujuan dari serangan ini tampaknya aksi spionase siber.

ProjectSauron sangat tertarik untuk mendapatkan akses dari komunikasi terenkripsi, memburu akses tersebut dengan menggunakan modular canggih dari platform spionase siber yang menggabungkan seperangkat alat dan teknik yang unik.

Fitur yang tidak biasa dari taktik ProjectSauron ini adalah sengaja menghindari pola: ProjectSauron mengkustomisasi implan dan infrastruktur untuk setiap target, dan tidak pernah menggunakannya dua kali.

Cara ini, ditambah dengan beberapa rute untuk exfiltration dari data yang dicuri, seperti saluran email yang sah dan DNS, memungkinkan ProjectSauron untuk melakukan aksi spionase secara rahasia dan dalam jangka panjang di jaringan milik korban.

ProjectSauron juga memberikan kesan bahwa mereka adalah sebuah kelompok penjahat siber tradisional yang berpengalaman dan telah mempelajari teknik-teknik dari kelompok penjahat siber yang sangat canggih lainnya, seperti Duqu, Flame, Equation dan Regin; mengadopsi beberapa teknik yang paling inovatif sehingga meningkatkan taktik mereka agar sulit untuk ditemukan.

Lokasi dan Profile Korban

Sampai saat ini, telah diidentifikasi lebih dari 30 organisasi di Rusia, Iran dan Rwanda, yang telah menjadi korban dan kemungkinan ada beberapa korban di negara-negara yang berbahasa Italia. Kami percaya bahwa akan lebih banyak lagi organisasi di berbagai lokasi yang menjadi korban selanjutnya.

Berdasarkan analisis kami, organisasi yang menjadi target pada umumnya memiliki peran penting dalam memberikan layanan di suatu negara, diantaranya:

- Pemerintahan
- Militer
- Pusat Penelitian Ilmiah
- Operator Telekomunikasi
- Lembaga Finansial

Analisis forensik menunjukkan bahwa ProjectSauron telah beroperasi sejak Juni 2011 dan masih terus aktif hingga 2016. Vektor infeksi awal yang digunakan oleh ProjectSauron untuk menembus jaringan korban sampai saat ini masih belum diketahui.

Sekarang ini banyak dari aksi serangan yang ditargetkan mengandalkan peralatan yang murah serta mudah untuk didapatkan. Namun, berbeda dengan ProjectSauron, mereka merupakan salah satu dari kelompok yang bergantung pada alat-alat buatan sendiri sehingga dapat diandalkan ditambah dengan kode scripted yang disesuaikan.

Penggunaan sekali pakai dari indikator unik, seperti kontrol server, kunci enkripsi dan banyak lainnya, digabung dengan pengadopsian teknik canggih dan termutakhir dari para pelaku ancaman utama lainnya menjadi sebuah aksi yang benar-benar terbilang baru.

"Satu-satunya cara untuk menghindari ancaman tersebut adalah dengan memiliki banyak lapisan keamanan di organisasi Anda, pergunakan rantai monitoring sensor bahkan terhadap anomali yang walau sekecil apapun menyimpang dari alur kerja organisasi, ditambah dengan pengetahuan mengenai ancaman dan analisis forensik untuk memburu pola bahkan ketika tampaknya tidak ada," kata Vitaly Kamluk, Principal Security Researcher di Kaspersky Lab.