KopiLuwak Berbahaya Buatan Turla Mengintai Sistem Dan Jaringan

NTTOnlinenow.com – Para peneliti Kaspersky Lab memantau berbagai kelompok pelaku ancaman berbahasa Rusia, Turla (juga dikenal sebagai Snake atau Uroburos) yang memanfaatkan evolusi terkini dari malware KopiLuwak berupa kode yang hampir identik dengan teknik yang digunakan sebelumnya pada operasi Zebrocy, merupakan bagian dari Sofacy (juga dikenal sebagai Fancy Bear dan APT28), pelaku ancaman siber berbahasa Rusia yang sudah lama ada. Para peneliti juga menemukan target yang tumpang tindih antara dua pelaku ancaman yaitu geopolitik di Asia Tengah serta entitas pemerintahan dan militer.

KopiLuwak yang namanya diambil dari jenis kopi langka, pertama kali ditemukan pada bulan November 2016. Cara kerjanya adalah mengirimkan dokumen yang berisi malware dengan macro yang diaktifkan dan menggunakan malware Javascript baru yang disamarkan. Setelah berhasil menyusup, malware ini dirancang untuk melakukan pengintaian sistem dan jaringan. Evolusi terbaru dari KopiLuwak terdeteksi pada pertengahan 2018, ketika peneliti Kaspersky Lab menemukan target baru di Suriah dan Afghanistan. Turla menggunakan vektor pengiriman spear-phishing dengan Windows shortcut (.LNK) file. Analisis menunjukkan bahwa file LNK berisi PowerShell untuk melakukan decode dan menjatuhkan muatan KopiLuwak. PowerShell ini hampir identik dengan yang digunakan dalam aktivitas Zebrocy sebulan sebelumnya.

Para peneliti juga menemukan beberapa target yang sama di antara keduanya yaitu target politik yang sensitif, termasuk entitas penelitian pemerintah dan keamanan, hingga misi diplomatik dan urusan militer terutama di Asia Tengah. Varian malware lainnya yang dilancarkan oleh Turla yaitu Carbon dan Mosquito berhasil ditemukan oleh para peneliti selama 2018.

Para peneliti memberikan bukti lebih lanjut untuk mendukung hipotesis bahwa Turla memanfaatkan jaringan Wi-Fi untuk mengirimkan malware Mosquito kepada target. Peneliti Kaspersky Lab juga menemukan modifikasi lebih lanjut dari Carbon yang merupakan aksi cyberespionage. Malware ini ditanamkan di target yang terpilih dengan kepentingan tertentu, dengan kemungkinan akan terjadi modifikasi kode dan berlanjut pada tahun 2019. Target Turla di 2018 dengan malware ini termasuk Timur Tengah dan Afrika Utara, serta Eropa Barat dan Timur, Asia Tengah dan Selatan, dan Amerika.

“Turla adalah salah satu pelaku kejahatan siber tertua, terus bertahan dan secara berkelanjutan melakukan inovasi ancaman dan pendekatan baru. Penelitian kami khususnya terhadap kelompok ini selama 2018 menunjukkan bahwa Turla terus berkembang dan bereksperimen. Namun, perlu dicatat bahwa jika dibandingkan dengan pelaku ancaman berbahasa Rusia lain seperti CozyDuke (APT29) dan Sofacy yang menargetkan organisasi di barat, seperti kasus dugaan peretasan Democratic National Committee pada tahun 2016, Turla justru diam-diam mengerahkan operasinya ke arah timur, di mana aktivitas bahkan teknik distribusi mereka baru-baru ini mulai mirip dengan subset Sofiz’s Zebrocy. Penelitian kami menunjukkan pengembangan dan penerapan kode Turla terus berlanjut, sehingga organisasi yang berpotensial dijadikan sebagai target perlu bersiap,” Kata Kurt Baumgartner, peneliti keamanan utama di tim GReAT Kaspersky Lab melalui siaran pers yang diterima redaksi NTTOnlinenow.com.

Kaspersky Lab merekomendasikan beberapa hal berikut untuk mengurangi risiko dari serangan tingkat lanjut yang ditargetkan:

Pertama, Gunakan solusi keamanan kelas korporasi yang mengombinasikan teknologi serangan anti-target dan intelijen ancaman, seperti Kaspersky Threat Management and Defense Solution. Fiturnya mampu mendeteksi dan menangkap serangan bertarget tingkat lanjut dengan menganalisis anomali jaringan, dan memberikan akses visibilitas penuh atas jaringan dan otomatisasi respon kepada tim keamanan siber.

Kedua, Sediakan akses ke data intelijen ancaman terbaru untuk staf keamanan. Akses ini akan melengkapi mereka dengan informasi mengenai penelitian dan pencegahan serangan yang ditargetkan, seperti indicators of compromise (IOC), YARA dan laporan ancaman tingkat lanjut lainnya.

Ketiga, Pastikan proses manajemen patch kelas enterprise telah dilakukan, selalu periksa kembali semua sistem konfirgurasi dan terapkan praktik yang tepat.

Keempat, Jika Anda melihat indikator awal dari serangan yang ditargetkan, pertimbangkan untuk mengelola sistem perlindungan yang akan memungkinkan Anda secara proaktif mendeteksi ancaman tingkat lanjut, mengurangi dwell time dan mengatur waktu respon terhadap insiden.

Tentang Kaspersky Lab

Kaspersky Lab adalah perusahaan keamanan siber global yang merayakan ulang tahun ke 20 pada tahun 2017. Pengetahuan Kaspersky Lab yang dalam terhadap ancaman dan keahlian dalam bidang keamanan senantiasa bertransformasi menjadi solusi dan layanan keamanan untuk melindungi bisnis, infrastruktur penting, pemerintah dan konsumen di seluruh dunia. Perusahaan memiliki portofolio keamanan yang komprehensif meliputi perlindungan endpoint terkemuka dan sejumlah solusi dan layanan keamanan khusus untuk melawan ancaman digital yang canggih dan terus berkembang. Lebih dari 400 juta pengguna dilindungi oleh teknologi Kaspersky Lab dan kami membantu 270.000 korporasi melindungi hal yang paling penting bagi mereka. Pelajari lebih lanjut di www.kaspersky.com.