11 Juni 2015
– Kaspersky Lab mengungkapkan Duqu 2.0 – sebuah platform malware sangat canggih yang memanfaatkan hingga tiga kerentanan zero-day
– Infeksi malware terkait dengan acara dan tempat penyelenggaraan P5 + 1 yaitu pertemuan tingkat tinggi antara para pemimpin dunia yang membahas masalah nuklir Iran
– Kaspersky Lab yakin bahwa klien dan mitra perusahaan aman dan tidak ada dampak pada produk perusahaan, teknologi dan layanan
Pada awal musim semi 2015 Kaspersky Lab mendeteksi adanya sebuah intrusi cyber yang mempengaruhi beberapa sistem internal perusahaan. Menindaklanjuti temuan ini perusahaan kemudian meluncurkan penyelidikan intensif, yang menuntun kepada penemuan platform malware baru dari salah satu aktor ancaman paling terampil, misterius dan kuat dalam dunia APT (advanced persistent threat), Duqu.
Kaspersky Lab percaya bahwa para penyerang ini merasa yakin sangat tidak mungkin untuk menemukan serangan cyber yang mereka lakukan tersebut. Serangan itu mengeksploitasi kerentanan zero-day dan setelah memperbaiki hak istimewa dari administrator domain, malware tersebut menyebar di jaringan melalui MSI (Microsoft Software Installer) file yang umum digunakan oleh administrator sistem untuk menyebarkan perangkat lunak pada komputer Windows terpencil. Serangan cyber ini tidak meninggalkan disk files atau perubahan dalam pengaturan di sistem, sehingga membuat pendeteksiannya menjadi sangat sulit. Filosofi dan cara berpikir dari kelompok “Duqu 2.0″ sudah jauh melampaui dari kelompok serupa yang terlihat di dunia APT.
Peneliti Kaspersky Lab menemukan bahwa perusahaan bukanlah satu-satunya target dari aktor ancaman kuat ini. Korban lainnya telah ditemukan di negara-negara Barat, serta di negara-negara Timur Tengah dan Asia. Terutama, beberapa infeksi baru yang terjadi pada 2014-2015 terkait acara dan tempat pelaksanaan negosiasi nuklir Iran dengan negara anggota P5+1 (AS, Jerman, Prancis, Rusia, Inggris, dan China) yaitu sebuah negosiasi dengan Iran mengenai kesepakatan nuklir. Aktor ancaman di balik Duqu tampaknya telah meluncurkan serangan di tempat pembicaraan tingkat tinggi ini berlangsung. Selain kejadian P5 + 1, kelompok Duqu 2.0 juga meluncurkan serangan serupa dalam kaitannya dengan acara peringatan 70 tahun pembebasan Auschwitz-Birkenau. Pertemuan ini dihadiri oleh banyak tamu asing dan politisi.
Kaspersky Lab melakukan audit keamanan awal serta analisis serangan. Audit ini termasuk sumber kode verifikasi dan pengecekan infrastruktur perusahaan. Audit masih berlangsung dan akan selesai dalam beberapa minggu. Selain pencurian kekayaan intelektual, tidak ada indikator tambahan aktivitas berbahaya yang terdeteksi. Hasil analisis menunjukkan bahwa tujuan utama dari penyerang adalah untuk memata-matai teknologi Lab Kaspersky, penelitian yang sedang berlangsung dan proses internal. Tidak ada gangguan terhadap proses atau sistem yang terdeteksi.
Kaspersky Lab merasa yakin bahwa klien dan mitra perusahaan aman dan tidak ada dampak pada produk perusahaan, teknologi dan layanan.
Ikhtisar Serangan Cyber
Pada awal tahun 2015, saat pengetesan prototipe dari sebuah solusi anti-APT yang dikembangkan oleh Kaspersky Lab menunjukkan tanda-tanda serangan kompleks yang ditargetkan pada jaringan perusahaan. Setelah serangan itu ditemukan, maka selanjutnya penyelidikan internal diluncurkan. Sebuah tim peneliti perusahaan, insinyur rekayasa balik dan analis malware bekerja sepanjang waktu untuk menganalisis serangan yang luar biasa ini. Perusahaan merilis semua rincian teknis tentang Duqu 2.0 melalui website Securelist.
Kesimpulan Awal:
- Serangan itu direncanakan dan dilakukan dengan hati-hati oleh kelompok yang sama yang berada di balik serangan APT terkenal olehDuqu di2011. Kaspersky Lab percaya bahwa tindakan ini adalah serangan yang disponsori oleh suatu negara.
- Kaspersky Lab sangat percaya bahwa tujuan utama dari serangan ini adalah untuk memperoleh informasi tentang teknologi terbaru perusahaan. Para penyerang khususnya tertarik pada rincian dari inovasi produk diantaranya Kaspersky Lab’s Secure Operating System, Kaspersky Fraud Prevention, Kaspersky Security Network serta solusi dan layanan Anti-APT. Sementara departemen Non-R & D (penjualan, pemasaran, komunikasi, hukum) tidak menarik perhatian penyerang.
- Informasi yang berhasil diakses oleh penyerang sama sekali tidak berperan penting dalam pengoperasian produk perusahaan. Berbekal informasi tentang serangan ini Kaspersky Lab akan terus meningkatkan kinerja dari portofolio solusi keamanan TI.
- Para penyerang juga menunjukkan minat yang tinggi dalam penyelidikan Kaspersky Lab saat ini mengenai serangan terhadap targetyang canggih; para penyerang mungkin menyadari reputasi perusahaan sebagai salah satu yang paling canggih dalam mendeteksi dan memerangi serangan APT kompleks.
- Para penyerang tampaknya memanfaatkan hingga tiga kerentanan zero-day. Sisa terakhir zero-day (CVE-2015-2360) telah diperbaikioleh Microsoft pada 9 Juni 2015 (MS15-061) setelah para ahli Kaspersky Lab melaporkannya.
Program jahat ini menggunakan metode canggih untuk menyembunyikan kehadirannya dalam sistem: kode Duqu 2.0 hanya berada dalam memori komputer dan bahkan mencoba untuk menghapus semua jejak pada hard drive.
Gambaran Besar
“Para pelaku di belakang Duqu adalah orang-orang yang paling terampil dan merupakan salah satu kelompok APT terkuat, mereka juga melakukan segala cara untuk mencoba tetap berada di bawah radar,” kata Costin Raiu, Director of Kaspersky Lab Global Research & Analysis Team. “Serangan yang sangat canggih ini menggunakan hingga tiga eksploitasi zero-day, yang sangat mengesankan – biayanya pasti sangatlah tinggi. Untuk tetap tersembunyi, malware hanya berada dalam memori kernel, sehingga solusi anti-malware mungkin memiliki masalah untuk mendeteksinya. Malware ini juga tidak secara langsung terhubung ke server command-and-control untuk menerima instruksi. Sebaliknya, penyerang menginfeksi pintu masukjaringan dan firewall dengan menginstal driver berbahaya yang memproxy semua lalu lintas dari jaringan internal ke server command and control penyerang.”
“Memata-matai perusahaan perusahaan keamanan cyber adalah kecenderungan yang sangat berbahaya. Perangkat lunak keamanan merupakan benteng terakhir dari perlindungan bisnis dan pelanggan di dunia modern, sementara perangkat keras dan peralatan jaringan dapat dikompromikan. Selain itu, cepat atau lambat teknologi yang diterapkan dalam serangan ditargetkan serupa akan dipelajari dan dimanfaatkan oleh teroris dan penjahat cyber profesional. Dan itu adalah skenario yang sangat serius dan mungkin dilakukan,” komentar Eugene Kaspersky, CEO dari Kaspersky Lab.
“Pelaporan insiden tersebut adalah satu-satunya cara untuk membuat dunia menjadi lebih aman. Hal ini membantu untuk meningkatkan desain keamanan dari infrastruktur perusahaan dan mengirimkan sinyal langsung kepada pengembang malware ini bahwa semua operasi ilegal akan dihentikan dan diadili. Satu-satunya cara untuk melindungi dunia adalah memiliki lembaga penegak hukum dan perusahaan keamanan yang melawan serangan tersebut secara terbuka. Kami akan selalu melaporkan serangan terlepas dari mana asal mereka,” tambah Eugene Kaspersky.
Kaspersky Lab ingin meyakinkan para klien dan mitra bahwa perusahaan akan terus melakukan perlindungan terhadap serangan cyber setiap saat tanpa pandang bulu. Kaspersky Lab berkomitmen untuk tetap bertindak jujur kepada pengguna dan menjaga kepercayaan penuh dan keyakinan mereka terhadap perusahaan; perusahaan yakin bahwa langkah yang diambil dapat memberikan penjelasan mengenai insiden ini pada saat yang sama mencegah masalah serupa terjadi lagi. Kaspersky Lab telah menghubungi kepolisian di berbagai negara dan membuat permintaan resmi untuk dilakukan investigasi kriminal dari serangan ini.
Kaspersky Lab sekali lagi ingin menekankan bahwa ini merupakan tahap awal penyelidikan. Tidak ada keraguan bahwa serangan ini memiliki jangkauan geografis yang lebih luas dan lebih banyak target. Tetapi menilai dari apa yang perusahaan ketahui, malware Duqu 2.0 telah digunakan untuk menyerang berbagai macam target di posisi tingkat tinggi dengan kesamaan memiliki kepentingan geo-politik yang bervariasi. Untuk mengurangi ancaman ini, Kaspersky Lab merilis Indikator Kompromi dan ingin menawarkan bantuan kepada semua organisasi yang tertarik.
Prosedur untuk perlindungan dari Duqu 2.0 telah ditambahkan ke produk perusahaan. Produk Kaspersky Lab mendeteksi ancaman ini sebagaiHEUR: Trojan.Win32.Duqu2.gen.
Rincian lebih lanjut tentang malware Duqu 2.0 dan Indikator Kompromi dapat ditemukan dalam laporan teknis.
Panduan umum tentang mitigasi APT tersedia dalam artikel “How to mitigate 85% of all targeted attacks using 4 simple strategies”.