15 Februari 2016
Kaspersky Lab Global Research and Analysis Team (GReAT) menerbitkan penelitian yang mendalam terhadap Adwind Remote Access Tool (RAT), sebuah program malware multifungsi serta cross-platform yang dikenal dengan nama AlienSpy, Frutas, Unrecom, Sockrat, JSocket dan jRat, dan didistribusikan melalui malware-as-a-service platform. Menurut hasil penyelidikan, yang dilakukan antara tahun 2013 dan 2016, versi berbeda dari malware Adwind telah digunakan dalam serangan terhadap setidaknya 443.000 pengguna perseorangan, organisasi komersial dan non-komersial di seluruh dunia. Platform dan malware ini masih aktif sampai saat ini.
Pada akhir 2015, peneliti Kaspersky Lab menyadari adanya sebuah program malware tidak biasa yang ditemukan saat percobaan serangan yangditargetkan (targeted attack) terhadap sebuah bank di Singapura. Sebuah file JAR berbahaya dilampirkan pada email spear-phishing yang ditujukan kepada karyawan dari bank yang ditargetkan. Kemampuan malware yang beraneka rupa, termasuk kemampuan untuk beroperasi di berbagai platform beserta fakta bahwa malware tersebut bahkan tidak mampu di deteksi oleh anti-virus, sangat menarik perhatian para peneliti.
Adwind RAT
Ternyata para korban tersebut diserang oleh Adwind RAT, sebuah backdoor yang dapat dibeli dan ditulis seluruhnya di Java, hal ini membuat malware ini memiliki kemampuan cross-platform. Adwin RAT juga dapat beroperasi di platform Windows, OS X, Linux dan Android sehingga memilikikemampuan untuk mengontrol desktop, mengumpulkan data, data exfiltration, dll dari jarak jauh.
Jika pengguna yang ditargetkan membuka file JAR yang dilampirkan, maka selanjutnya malware akan langsung terinstal dan melakukan upaya komunikasi dengan command and control server. Daftar kemampuan malware ini mencakup:
- Mengumpulkan keystrokes
- Mencuri cached kata sandi dan mengambil data dari web forms
- Mengambil screenshots
- Mengambil gambar dan merekam video dari webcam
- Merekam suara dari mikropon
- Melakukan transfer file
- Mengumpulkan general system dan informasi tentang pengguna
- Mencuri keys dari cryptocurrency wallets
- Mengelola SMS (untuk Android)
- Mencuri sertifikat VPN
Meskipun malware ini banyak digunakan oleh para penyerang oportunistik dengan cara mendistribusikannya melalui serangan spam secara besar-besaran, tetapi ada juga kasus di mana malware Adwind digunakan dalam serangan yang ditargetkan. Pada Agustus 2015 malware Adwind muncul dalam berita terkait aksi spionase siber terhadap jaksa Argentina yang ditemukan tewas pada bulan Januari 2015. Insiden terhadap bank diSingapura adalah contoh lain dari serangan yang ditargetkan. Jika kita menelaah lebih dalam aksi kejahatan yang terkait dengan penggunaan Adwind RAT ini, maka terlihat bahwa kedua serangan yang ditargetkan tadi bukan lah satu-satunya.
Targets of interest
Selama penyelidikan, para peneliti Kaspersky Lab mampu menganalisis hampir 200 contoh serangan spear-phishing yang dilakukan oleh penjahat tak dikenal untuk menyebarkan malware Adwind, dan juga para peneliti berhasil mengidentifikasi industri yang menjadi target:
- Manufaktur
- Keuangan
- Teknik
- Perencanaan
- Retail
- Pemerintahan
- Logistik
- Telekomunikasi
- Perangkat Lunak
- Pendidikan
- Makanan dan Minuman
- Kesehatan
- Media
- Energi
Berdasarkan informasi Kaspersky Security Network, 200 contoh serangan spear-phishing ini diamati dalam jangka waktu enam bulan antara Agustus 2015 sampai Januari 2016 yang membuat lebih dari 68,0000 pengguna harus berhadapan langsung dengan sampel malware Adwind RATini.
Distribusi geografis dari pengguna yang diserang dan terdaftar oleh KSN selama periode ini menunjukkan bahwa hampir setengah dari korban(49%) tinggal di 10 negara berikut ini: Uni Emirat Arab, Jerman, India, Amerika Serikat, Italia, Rusia, Vietnam, Hong Kong, Turki dan Taiwan.
Berdasarkan profil target yang teridentifikasi, maka para peneliti Kaspersky Lab mengkategorikan pengguna Adwind RAT seperti berikut: scammers yang ingin naik tingkat ke level berikutnya (menggunakan malware untuk penipuan yang lebih canggih), persaingan yang kotor, tentara siber bayaran (mata-mata yang dapat disewa), serta perseorangan yang ingin memata-matai orang yang mereka kenal.
Threat-as-a-Service
Salah satu fitur utama yang membedakan Adwind RAT dari malware komersial lainnya adalah bahwa malware ini didistribusikan secara terbuka dalam bentuk layanan berbayar, di mana “pelanggan” hanya perlu membayarkan biaya penggunaan program jahat ini. Berdasarkan penyelidikanterhadap aktivitas pengguna di internal message board dan beberapa pengamatan lainnya, peneliti Kaspersky Lab memperkirakan bahwa ada sekitar 1.800 pengguna berada dalam sistem di akhir 2015. Hal ini membuat Adwin RAT menjadi salah satu platform malware terbesar yang pernahada hingga saat ini.
“Malware Adwind dengan segala kemampuan yang dimilikinya bisa dikatakan secara signifikan membantu mengurangi jumlah minimum pengetahuan profesional yang seharusnya dimiliki oleh seorang penjahat potensial jika ingin memasuki area kejahatan siber. Maka yang dapat kami simpulkan berdasarkan penyelidikan yang telah dilakukan terhadap serangan ke bank di Singapura adalah para penjahat di balik serangan tersebut jauh dari kesan seorang hacker profesional, dan kami merasa bahwa sebagian besar “pelanggan” malware Adwind ini memiliki tingkat pengetahuan mengenai komputer yang jauh dari kata profesional. Dimana hal ini menjadi sebuah tren yang mengkhawatirkan,” ungkap Alexander Gostev, Chief Security Expert di Kaspersky Lab.
“Meskipun dengan adanya berbagai laporan mengenai generasi yang berbeda-beda dari malware ini, diterbitkan oleh vendor keamanan dalam beberapa tahun terakhir, sangat jelas bahwa malware ini masih tetap aktif dan digunakan oleh para penjahat dari segala jenis. Kami melakukan penelitian ini untuk menarik perhatian lembaga keamanan dan penegakan hukum serta membuat langkah-langkah yang diperlukan untuk mengakhiri aksi malware ini sepenuhnya,” ujar Vitaly Kamluk, Director of Global Research & Analysis Team Kaspersky Lab untuk APAC.
Kaspersky Lab telah melaporkan temuannya mengenai malware Adwind ke lembaga penegak hukum.
Dalam rangka melindungi diri sendiri dan organisasi Anda terhadap ancaman ini, Kaspersky Lab mendorong perusahaan untuk meninjau kembali tujuan penggunaan platform Java dan menonaktifkannya dari semua sumber yang tidak sah.
Baca lebih lanjut tentang Adwind Malware-as-a-Service platform di www.securelist.com
Pelajari bagaimana serangan yang ditargetkan ini diselidiki: http://www.youtube.com/watch?v=FzPYGRO9LsA
Informasi lebih lanjut mengenai aksi spionase siber bisa dibaca di sini: https://apt.securelist.com/