10 September 2015
Ketika menginvestigasi aktor dibelakang aksi spionase cyber Rusia yang terkenal kejam, Turla, peneliti Kaspersky Lab menemukan metodeyang dipergunakan oleh kelompok Turla untuk menghindari pendeteksian aktivitas dan lokasi fisik mereka. Sebagai solusi untuk anonimitas, kelompok tersebut memanfaatkan lemahnya keamanan dalam jaringan satelit global.
Turla adalah kelompok spionase cyber canggih yang telah aktif selama lebih dari 8 tahun. Para penyerang di balik Turla telah menginfeksi ratusankomputer di lebih dari 45 negara, termasuk Kazakhstan, Rusia, China, Vietnam, dan AS. Beberapa organisasi yang terkena dampaknya meliputi lembaga pemerintahan, kedutaan, militer, pendidikan, penelitian, dan perusahaan farmasi. Pada tahap awal, epic backdoor akan melakukan profiling korban terlebih dahulu. Khusus untuk target penting, penyerang akan menggunakan mekanisme komunikasi berbasis satelit yang ekstensif pada tahap akhir serangan, untuk membantu mereka dalam menyembunyikan jejak.
Komunikasi melalui satelit dikenal sebagai alat untuk menyiarkan tayangan televisi dan merupakan komunikasi yang aman; tetapi, satelit juga digunakan untuk menyediakan akses ke Internet. Layanan internet seperti ini kebanyakan digunakan di lokasi-lokasi terpencil, di mana tipe-tipe pengaksesan Internet lainnya tidak stabil atau lambat, atau bahkan tidak tersedia sama sekali. Salah satu tipe koneksi Internet berbasis satelit yang paling banyak tersebar dan tidak mahal adalah koneksi “downstream-only.”
Dalam kasus ini, permintaan yang keluar dari PC pengguna dikomunikasikan melalui jalur konvensional (koneksi kabel atau GPRS), dimana trafficdata yang masuk dikirim dari satelit. Teknologi ini memungkinkan pengguna untuk mengunduh dengan kecepatan yang relatif cepat. Namun, ada satu kelemahan besar yaitu semua traffic downstream dikembalikan ke PC tanpa dienkripsi. Pengguna yang berniat jahat dengan mudah menggunakan set peralatan dan software yang tidak mahal sekalipun dapat dengan mudah mencegat traffic tersebut dan mengakses seluruh data milik para user yang sedang mengunduh.
Kelompok Turla mengambil keuntungan dari kelemahan ini dengan cara yang berbeda: mereka menggunakannya untuk menyembunyikan lokasi server Command and Control (C&C), salah satu bagian paling penting dari infrastruktur kelompok jahat tersebut. Server C&C secara esensial adalah sebuah “homebase” untuk penyebaran malware ke mesin-mesin target. Menemukan lokasi server tersebut dapat menuntun penyelidik untuk menyibak detail mengenai aktor di balik aksi ini. Berikut adalah cara-cara yang digunakan oleh kelompok Turla untuk menghindari resiko tersebut:
- Pertama-tama, kelompok ini ‘mendengarkan’ downstream dari satelit untuk mengidentifikasi alamat IP yang aktif dari pengguna Internet berbasis satelit yang sedang online saat itu.
- Kemudian mereka memilih alamat IP yang online untuk digunakan sebagai kedok server C&C, tanpa sepengetahuan pengguna IPtersebut.
- Mesin yang terinfeksi Turla kemudian diberi instruksi untuk menarik data dari IP yang terpilih milik pengguna Internet berbasis satelit regular. Data tersebut melintas melalui jalur konvensional, ke teleport dari satelit penyedia jasa Internet, ke satelit, dan akhirnya turun kepengguna IP yang dipilih.
Yang menarik, pemilik resmi IP yang dimanfaatkan oleh penyerang untuk menerima data dari mesin yang terinfeksi, juga akan menerima paket data ini, tetapi tidak menyadarinya. Hal ini dikarenakan penyerang Turla menginstruksikan mesin yang terinfeksi untuk mengirim data ke port yang, di kebanyakan kasus, tertutup secara default. Jadi PC dari si pengguna resmi hanya akan menaruh paket ini, sementara server C&C Turla, yang menahan port supaya terbuka, akan menerima dan memproses data yang dicuri.
Hal menarik lainnya adalah taktik para aktor Turla seringkali menggunakan satelit dari penyedia koneksi Internet yang berlokasi di Timur Tengah dan Afrika. Dalam penelitian Kaspersky Lab, para ahli melihat kelompok Turla menggunakan IP dari para penyedia jasa Internet di Kongo, Lebanon, Libia, Niger, Nigeria, Somalia dan Arab Saudi.
Cahaya satelit yang digunakan para penyedia jasa Internet di negara-negara ini biasanya tidak meliputi wilayah Eropa dan Amerika Utara, membuat kebanyakan peneliti keamanan di negara-negara tersebut sulit untuk menginvestigasi serangan semacam ini.
“Dahulu, kita telah melihat sekurang-kurangnya 3 aktor berbeda yang menggunakan Internet berbasis satelit untuk menyembunyikan operasi mereka. Dari ketiganya, solusi yang dikembangkan kelompok Turla merupakan yang paling menarik dan tidak biasa. Mereka mampu mencapai level paling tinggi anonimitas dengan mengeksploitasi teknologi yang dipergunakan secara luas – satelit Internet satu arah. Para penyerang dapat berada di mana saja dalam jangkauan satelit yang mereka pilih, sebuah area yang luasnya dapat mencapai lebih dari ribuan kilometer persegi,” ujar Stefan Tanase, Peneliti Keamanan Senior di Kaspersky Lab. “Hal ini membuat mereka hampir tidak mungkin untuk dilacak. Seiring meningkatnya popularitas penggunaan metode tersebut, sangat penting untuk administrator sistem untuk menjalankan strategi pertahanan yang tepat untuk mengurangi serangan seperti ini.”
Produk Kaspersky Lab telah sukses mendeteksi dan memblok malware yang digunakan oleh aktor ancaman Turla dengan nama pendeteksian berikut:
Backdoor.Win32.Turla.*
Rootkit.Win32.Turla.*
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
Informasi lebih lanjut tentang serangan ditargetkan oleh Turla tersedia bagi pelanggan Kaspersky Security Intelligence Services. Hubungi:intelreports@kaspersky.com