Hiiii, “Red October” Gentayangan

red octoberJAKARTA, KAMIS – Pernah nonton film Red October? Nah menurut laporan Kaspersky Lab, ada mata-mata bernama Red October, alias Rocra, yang sudah berkeliaran di jagat maya  selama setidaknya lima tahun. Awal Januari ini, Rocra masih aktif.

Sasaran Red October adalah badan diplomatik, pemerintahan dan badan riset pengetahuan,  grup energi dan nuklir, serta perdagangan dan luar angkasa di negara-negara di Eropa Timur, bekas negara Republik USSR (Uni Soviet) dan negara-negara di Asia Tengah. Namun tak ada  negara yang aman darinya, termasuk Eropa Barat dan Amerika Utara, termasuk Swiss dan Luxemburg.

Para penyerang mendesain sendiri malware-nya, dikenal dengan nama “Rocra”, dengan arsitektur modular unik yang terdiri dari ekstensi berbahaya, modul pencuri informasi dan Trojan backdoor. Tujuannya adalah mengumpulkan dokumen sensitif dari organisasi yang disusupi, termasuk intelijen geopolitik, kredensial untuk mengakses sistem komputer rahasia dan data dari perangkat bergerak milik personal serta perangkat jaringan. Ini termasuk file dari berbagai sistem kriptografis, misalnya Acid Cryptofiler, yang digunakan oleh organisasi-organisasi seperti NATO, Uni Eropa, Parlemen Eropa dan Komisi Eropa sejak musim panas (Juni – September) 2011 untuk melindungi informasi sensitif.

Malware ini juga mampu mencuri data dari perangkat bergerak seperti smartphone (iPhone, Nokia dan Windows Mobile). Ia juga mampu mencuri informasi konfigurasi dari peralatan jaringan enterprise seperti router dan switch, juga file yang telah dihapus dari disk drive (USB drive).

Untuk menginfeksi sistem, para penyerang mengirim e-mail spear-phishing ke korban yang juga berisi dropper atau peluncur Trojan kustomisasi. Untuk menginstal malware dan menginfeksi sistem, e-mail berbahaya juga meliputi eksploitasi untuk mengakali lubang keamanan di Microsoft Office dan Microsoft Excel. Salah satu perintah (command) pada peluncur Trojan mengubah default sytem codepage dari command prompt ke 1251, yang diperlukan untuk me-render font Cyrillic.

Untuk mengontrol jaringan komputer yang terinfeksi, para penyerang menciptakan lebih dari 60 nama domain dan beberapa lokasi hosting server di berbagai negara, sebagian besar berada di Jerman dan Rusia. Analisis Kaspersky Lab atas infrastruktur Command & Control (C2) “Rocra” menunjukkan, sebenarnya rangkaian server tersebut bekerja sebagai proxy untuk menyembunyikan lokasi server kontrol ‘induk’. Mayoritas koneksi IP yang terinfeksi berasal dari Swiss, Kazakhstan dan Yunani.

Informasi yang dicuri dari sistem yang terinfeksi termasuk dokumen-dokumen dengan ekstension: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, dan acidssa.

Berita baiknya, malware “Rocra”, yang diklasifikasikan sebagai Backdoor.Win32.Sputnik, berhasil dideteksi, diblokir dan diremediasi oleh produk-produk Kaspersky Lab.

Ingin tahu laporan lengkap riset “Rocra” oleh para pakar Kaspersky Lab? Silakan ke Securelist.com.

Tanggapan Kamu

komentar