Jakarta, September 2018 – Tim Riset dan Analisis Global Kaspersky Lab (GReAT) telah menemukan sejumlah infeksi Trojan tidak dikenal, yang kemungkinan besar terkait dengan pelaku ancaman berbahasa Tionghoa paling terkenal, yaitu LuckyMouse. Ciri paling menonjol dari jenis malware ini adalah penggunaan driver yang dilengkapi sertifikasi digital dikeluarkan oleh perusahaan pengembang perangkat lunak terkait keamanan informasi.
Grup LuckyMouse dikenal atas serangan siber yang bertarget pada entitas besar di seluruh dunia. Kegiatan kelompok tersebut dapat menimbulkan bahaya di seluruh kawasan, termasuk Asia Tenggara dan Asia Tengah, karena serangan mereka tampaknya memiliki agenda politik tertentu. Fenomena tersebut terlihat dari profil korban dan vektor serangan sebelumnya, peneliti Kaspersky Lab berpikir bahwa Trojan yang terdeteksi mungkin telah digunakan untuk spionase siber suatu negara yang didukung oleh pemerintahannya
Jenis Trojan yang ditemukan oleh para ahli Kaspersky Lab menginfeksi komputer target melalui driver yang dibuat oleh pelaku ancaman. Setelah berhasil menyusup, penyerang dapat menjalankan semua perintah termasuk eksekusi perintah, mengunduh dan mengunggah file, serta mencegat lalu-lintas jaringan.
Driver tersebut menjadi bagian paling menarik dari praktik penyerangan yang dijalankan. Agar terlihat berasal dari sumber yang terpercaya, kelompok tersebut mencuri sertifikat digital yang dimiliki oleh pengembang perangkat lunak terkait keamanan informasi dan menggunakannya sebagai penanda sampel malware. Upaya tersebut dilakukan untuk menghindari deteksi dari solusi keamanan, dengan menyertakan penanda yang sah maka malware dapat tampak seperti perangkat lunak legal.
Yang juga menjadi perhatian para peneliti adalah meskipun LuckyMouse memiliki kemampuan untuk membangun sendiri perangkat lunak berbahaya, namun perangkat lunak yang digunakan dalam serangan itu merupakan kombinasi dari malware khusus dan sampel kode yang tersedia untuk publik dari repositori umum. Daripada menulis sendiri kode orisinil, menggunakan kode pihak ketiga yang siap digunakan dapat menghemat waktu pembuatan malware dan membuat proses atribusi semakin sulit.
“Munculnya kampanye LuckyMouse selalu bertepatan waktunya dengan perhelatan politik dengan profil yang besar dan waktu penyerangan biasanya mendahului puncak acara politik dunia tersebut. Pelaku kejahatan tidak begitu mengkhawatirkan atribusi karena mereka menggunakan kode pihak ketiga dalam program yang dijalankan, sehingga tidak memakan waktu bagi mereka untuk menambahkan lapisan lain pada droppers atau bahkan untuk mengembangkan modifikasi pada malware tersebut. Dan dengan cara ini masih tidak dapat terlacak,” kata Denis Legezo, Peneliti Keamanan Kaspersky Lab.
Kaspersky Lab sebelumnya telah melaporkan tentang aksi kelompok LuckyMouse yang menyerang pusat data nasional untuk mengorganisir kampanye waterholing.
Bagaimana cara melindungi dari serangan tersebut:
- Jangan secara otomatis mempercayai kode yang berjalan pada sistem Anda. Sertifikat digital tidak menjamin tidak adanya backdoors.
- Gunakan solusi keamanan yang kuat, dilengkapi teknologi deteksi perilaku berbahaya yang dapat menangkal serangan bahkan dari ancaman yang belum dikenal.
- Berlangganan laporan intilijen berkualitas tinggi mengenai ancaman sehingga divisi keamanan perusahaan mendapatkan akses awal ke informasi tentang perkembangan terkini taktik, teknik, dan prosedur pelaku ancaman siber.
Baca versi lengkapnya di Securelist.com.