Awas, KopiLuwak Mengintai Sistem dan Jaringan!

mataluwak

Para peneliti Kaspersky Lab memantau berbagai kelompok pelaku ancaman berbahasa Rusia, Turla (juga dikenal sebagai Snake atau Uroburos) yang memanfaatkan evolusi terkini dari malware KopiLuwak berupa kode yang hampir identik dengan teknik yang digunakan sebelumnya pada operasi Zebrocy, merupakan bagian dari Sofacy (juga dikenal sebagai Fancy Bear dan APT28), pelaku ancaman siber berbahasa Rusia yang sudah lama ada. Para peneliti juga menemukan target yang tumpang tindih antara dua pelaku ancaman yaitu geopolitik di Asia Tengah serta entitas pemerintahan dan militer.

KopiLuwak yang namanya diambil dari jenis kopi langka, pertama kali ditemukan pada bulan November 2016. Cara kerjanya adalah mengirimkan dokumen yang berisi malware dengan macro yang diaktifkan dan menggunakan malware Javascript baru yang disamarkan. Setelah berhasil menyusup, malware ini dirancang untuk melakukan pengintaian sistem dan jaringan. Evolusi terbaru dari KopiLuwak terdeteksi pada pertengahan 2018, ketika peneliti Kaspersky Lab menemukan target baru di Suriah dan Afghanistan. Turla menggunakan vektor pengiriman spear-phishing dengan Windows shortcut (.LNK) file. Analisis menunjukkan bahwa file LNK berisi PowerShell untuk melakukan decode dan menjatuhkan muatan KopiLuwak. PowerShell ini hampir identik dengan yang digunakan dalam aktivitas Zebrocy sebulan sebelumnya.
Para peneliti juga menemukan beberapa target yang sama di antara keduanya yaitu target politik yang sensitif, termasuk entitas penelitian pemerintah dan keamanan, hingga misi diplomatik dan urusan militer terutama di Asia Tengah.

Varian malware lainnya yang dilancarkan oleh Turla yaitu Carbon dan Mosquito berhasil ditemukan oleh para peneliti selama 2018.
Para peneliti memberikan bukti lebih lanjut untuk mendukung hipotesis bahwa Turla memanfaatkan jaringan Wi-Fi untuk mengirimkan malware Mosquito kepada target. Peneliti Kaspersky Lab juga menemukan modifikasi lebih lanjut dari Carbon yang merupakan aksi cyberespionage. Malware ini ditanamkan di target yang terpilih dengan kepentingan tertentu, dengan kemungkinan akan terjadi modifikasi kode dan berlanjut pada tahun 2019. Target Turla di 2018 dengan malware ini termasuk Timur Tengah dan Afrika Utara, serta Eropa Barat dan Timur, Asia Tengah dan Selatan, dan Amerika.


“Turla adalah salah satu pelaku kejahatan siber tertua, terus bertahan dan secara berkelanjutan melakukan inovasi ancaman dan pendekatan baru. Penelitian kami khususnya terhadap kelompok ini selama 2018 menunjukkan bahwa Turla terus berkembang dan bereksperimen. Namun, perlu dicatat bahwa jika dibandingkan dengan pelaku ancaman berbahasa Rusia lain seperti CozyDuke (APT29) dan Sofacy yang menargetkan organisasi di barat, seperti kasus dugaan peretasan Democratic National Committee pada tahun 2016, Turla justru diam-diam mengerahkan operasinya ke arah timur, di mana aktivitas bahkan teknik distribusi mereka baru-baru ini mulai mirip dengan subset Sofiz's Zebrocy. Penelitian kami menunjukkan pengembangan dan penerapan kode Turla terus berlanjut, sehingga organisasi yang berpotensial dijadikan sebagai target perlu bersiap,” Kata Kurt Baumgartner, peneliti keamanan utama di tim GReAT Kaspersky Lab.

turla

Kaspersky Lab merekomendasikan beberapa hal berikut untuk mengurangi risiko dari serangan tingkat lanjut yang ditargetkan:

Go to top