Awas, Grup peretas Turla sembunyikan malware di software anti sensor internet

JAKARTA (IndoTelko) - Peneliti Kaspersky telah menemukan bahwa aktor ancaman berbahasa Rusia, Turla telah memperbaharui toolset-nya, dengan cara membungkus malware terkenalnya JavaScript KopiLuwak dalam penetes baru yang disebut “Topinambour”, menciptakan dua versi serupa dalam bahasa lain, dan mendistribusikan malware melalui paket instalasi yang terinfeksi untuk perangkat lunak anti sensor internet. 

Para peneliti percaya langkah-langkah ini dirancang untuk meminimalkan deteksi dan ketepatan sasaran menuju korban. Topinambour terlihat dalam operasi melawan entitas pemerintah pada awal 2019.

Turla adalah aktor ancaman berbahasa Rusia yang terkenal dengan profil tinggi dan minatnya dalam cyberespionage terhadap pemerintah dan target yang berhubungan dengan diplomatik. 

Turla memiliki reputasi inovatif dan malware KopiLuwak sebagai ciri khasnya, yang pertama kali diamati pada akhir 2016.

Pada 2019, peneliti Kaspersky menemukan alat dan teknik baru yang diperkenalkan oleh aktor ancaman tersebut dengan meningkatnya kegesitan dan meminimalisir deteksi.

Topinambour (dinamai sesuai dengan sayuran yang juga dikenal sebagai artichoke Yerusalem) adalah file .NET baru yang sedang digunakan oleh Turla untuk mendistribusikan dan menjatuhkan JavaScript KopiLuwak-nya melalui paket instalasi yang terinfeksi untuk program perangkat lunak yang sah seperti VPN yang menghindari sensor internet.

KopiLuwak dirancang untuk cyberespionage dan proses infeksi terbaru Turla mencakup teknik yang membantu malware untuk menghindari deteksi. Misalnya, infrastruktur perintah dan kontrol yang memiliki IP yang tampak seperti alamat LAN biasa. Lebih jauh, malware ini hampir sepenuhnya “fileless”. Tahap akhir infeksi dimulai ketika Trojan sudah terenkripsi untuk administrasi jarak jauh, kemudian tertanam ke dalam registri komputer untuk diakses malware ketika sudah siap.

Dua analog KopiLuwak: .NET RocketMan Trojan dan PowerShell MiamiBeach Trojan juga dirancang untuk cyberespionage. Para peneliti percaya bahwa versi ini dikerahkan untuk target dengan perangkat lunak keamanan yang diinstal dan mampu mendeteksi KopiLuwak. 

Setelah instalasi berhasil, ketiga versi dapat:
• Melakukan sidik jari target, untuk memahami jenis komputer apa yang telah terinfeksi
• Mengumpulkan informasi tentang adaptor sistem dan jaringan
• Mencuri file
• Mengunduh dan menjalankan malware tambahan
• MiamiBeach juga dapat mengambil screenshot

Peneliti keamanan utama di Kaspersky Kurt Baumgartner mengungkapkan pada 2019, Turla muncul dengan toolset yang diperbaharui, memperkenalkan sejumlah fitur baru yang mungkin untuk meminimalkan deteksi oleh solusi keamanan dan peneliti.

Ini termasuk mengurangi jejak digital malware, dan penciptaan dua versi yang berbeda namun serupa dari malware KopiLuwak yang terkenal. Penyalahgunaan paket instalasi untuk perangkat lunak VPN yang dapat menghindari sensor internet menunjukkan bahwa para pelaku kejahatan siber telah menetapkan dengan jelas target cyberespionage dari alat-alat ini.

"Evolusi yang berkelanjutan dari Turla ini sekaligus menjadi pengingat yang baik tentang perlunya perangkat lunak intelijen dan keamanan ancaman yang dapat melindungi dari alat dan teknik terbaru yang digunakan oleh APT. Misalnya, dengan menerapkan perlindungan titik akhir dan memeriksa hash file setelah mengunduh instalasi perangkat lunak akan membantu melindungi terhadap ancaman seperti Topinambour,” katanya.(wn)