Para ahli Kaspersky Lab menyimpulkan bahwa serangan spionase cyber yang disponsori oleh negara semakin canggih. Serangan ini menargetkan pengguna yang didefinisikan secara hati-hati dengan menggunakan alat-alat yang kompleks dan modular, serta memastikan untuk selalu berada di bawah radar sistem deteksi yang semakin efektif.
Tren baru ini dikonfirmasi oleh para ahli dalam analisis secara terrinci mengenai platform spionase cyber dari EquationDrug. Spesialis Kaspersky Lab menyimpulkan bahwa mengikuti kesuksesan industri yang semaking berkembang dalam mengungkap grup Advanced Persisstent Threat (APT), maka para pelaku ancaman yang paling canggih saat ini berfokus pada peningkatan jumlah komponen dalam platform berbahaya mereka dalam rangka untuk mengurangi visibilitas mereka dan meningkatkan kemampuan merekauntuk tidakterlihat.
Platform terbaru ini mampu membawa banyak modul plugin yang memungkinkan mereka untuk memilih dan melakukan berbagai fungsi yang berbeda, tergantung pada target korban dan informasi yang korban miliki. Kaspersky Lab memperkirakan bahwa EquationDrug memiliki 116 plugin yang berbeda.
“Penyerang yang disponsori oleh negara berusaha untuk membuat alat spionase cyber yang lebih stabil, tak terlihat, dapat diandalkan serta universal. Mereka berfokus untuk menciptakan kerangka kerja yang dapat membungkus kode tersebut menjadi sesuatu yang dapat disesuaikan pada sistem yang berjalan dan menyediakan cara yang dapat diandalkan untuk menyimpan semua komponen dan data dalam bentuk terenkripsi, tidak dapat diakses untuk pengguna biasa,”- jelas Costin Raiu, Director Director of Global Research and Analysis Team di Kaspersky Lab. – “Kecanggihan kerangka kerja tersebut membuat aktor jenis ini berbeda dari penjahat cyber tradisional, yang lebih memilih untuk fokus pada payload dan kemampuan malware yang dirancang untuk keuntungan finansial secara langsung.”
Cara lain yang dipergunakan para penyerang yang disponsori oleh negara yang membedakan taktik mereka dari penjahat cyber tradisional meliputi:
- Skala. Penjahat cyber tradisional mendistribusikan secara massal email dengan lampiran berbahaya atau menginfeksi situs dalam skala besar, sementara aktor yang disponsori oleh negara lebih memilih target yang benar-benar ditargetkan, serangan secara cepat dan tepat, hanya menginfeksi beberapa pengguna yang dipilih.
- Pendekatan individu. Sementara penjahat cyber tradisional biasanya menggunakan kembali kode awal yang tersedia di publik seperti yang terkenal dari Zeus atau Carberp Trojans, aktor yang disponsori oleh negara membangun malware unik dan dapat disesuaikan, dan bahkan menerapkan pembatasan yang mencegah dekripsi dan eksekusi di luar komputer target.
- Mengambil informasi yang berharga. Penjahat cyber secara umum menginfeksi pengguna sebanyak mungkin. Namun mereka tidak memiliki waktu dan ruang penyimpanan untukbisa secara manual memeriksa semua mesin yang mereka infeksi dan menganalisis siapa yang memiliki mereka, apa data yang tersimpan di dalamnya dan software apa yang mereka jalankan – dan kemudian mentransfer dan menyimpan semua data menarik yang memiliki potensi.
Akibatnya mereka mengkodekan dalam all-in-one malware yang hanya akan mengambil data yang paling berharga seperti password dan nomor kartu kredit dari mesin korban – kegiatan yang dengan cepat bisa membuat mereka mendapat perhatian perangkat lunak keamanan yang diinstal.
Sementara aktor yang disponsori oleh negara di sisi lain memiliki sumber daya untuk menyimpan data sebanyak yang mereka inginkan. Untuk luput dari perhatian dan tetap tidak terlihat perangkat lunak keamanan, mereka mencoba untuk menghindari menginfeksi pengguna secara acak dan sebaliknya mengandalkan alat manajemen sistem generik jarak jauh yang dapat menyalin setiap informasi yang mereka butuhkan dan dalam volume berapapun. Hal ini bisa, bagaimanapun, bekerja melawan mereka dikarenakan memindahkan volume data yang besar bisa memperlambat koneksi jaringan dan menimbulkan kecurigaan.
“Hal ini mungkin tampak aneh bahwa platform spionase cyber sehebat EquationDrug tidak memiliki semua kemampuan standar mencuri dalam inti malwarenya. Jawabannya adalah bahwa mereka lebih memilih untuk menyesuaikan serangan untuk masing-masing korban mereka. Hanya jika mereka telah memilih untuk secara aktif memantau Anda dan produk keamanan pada mesin Anda telah dilucuti, Anda akan menerima sebuah plugin untuk pelacakan secara live dari percakapan atau fungsi tertentu lainnya yang terkait dengan aktivitas Anda. Kami percaya modularitas dan kustomisasi akan menjadi merek dagang yang unik dari penyerang yang disponsori oleh negara di masa depan.“- simpul Costin Raiu.
EquationDrug adalah platform spionase utama yang dikembangkan oleh Equation Group. Dan telah digunakan selama lebih dari satu dekade meskipun sekarang sebagian besar telah digantikan oleh platform GrayFish dan bahkan lebih canggih. Tren taktis yang dikonfirmasi oleh analis sebagai EquationDrug pertama kali diamati oleh Kaspersky Lab pada saat penelitian mengenai serangan spionase cyber antara lain, Careto dan Regin.
Produk Kaspersky Lab mendeteksi sejumlah upaya untuk menyerang para penggunanya dengan eksploitasi yang digunakan oleh Equation group di malware mereka. Banyak serangan ini tidak berhasil karena teknologi Automatic Exploit Prevention yang secara umum mendeteksi dan memblok eksploitasi kerentanan yang diketahui. Worm Fanny kemungkinan disusun pada bulan Juli 2008 dan menjadi bagian dari platform Equation, pertama kali terdeteksi dan masuk daftar hitam oleh sistem otomatis Kaspersky Lab pada bulan Desember 2008.
Untuk membaca penelitian terbaru mengenai platform EquationDrug, silakan kunjungi Securelist.com.