Pada bulan September 2015, platform anti-targeted attack milik Kaspersky Lab memberikan peringatan terhadap fitur yang tidak biasa di jaringan bisnis milik klien perusahaan.
Anomali ini mengantarkan para peneliti Kaspersky Lab ke ‘ProjectSauron’, sebuah kelompok penjahat cyber yang disokong oleh sebuah negara dan menyerang organisasi di negara lain dengan seperangkat alat yang unik untuk setiap korbannya, sehingga membuat indikator tradisional terhadap peretasan menjadi tidak berguna. Tujuan dari serangan ini tampaknya aksi spionase cyber.
ProjectSauron sangat tertarik untuk mendapatkan akses dari komunikasi terenkripsi, memburu akses tersebut dengan menggunakan modular canggih dari platform spionase cyber yang menggabungkan seperangkat alat dan teknik yang unik.
Fitur yang tidak biasa dari taktik ProjectSauron ini adalah sengaja menghindari pola: ProjectSauron mengkustomisasi implan dan infrastruktur untuk setiap target, dan tidak pernah menggunakannya dua kali.
Cara ini, ditambah dengan beberapa rute untuk exfiltration dari data yang dicuri, seperti saluran email yang sah dan DNS, memungkinkan ProjectSauron untuk melakukan aksi spionase secara rahasia dan dalam jangka panjang di jaringan milik korban.
ProjectSauron juga memberikan kesan bahwa mereka adalah sebuah kelompok penjahat cyber tradisional yang berpengalaman dan telah mempelajari teknik-teknik dari kelompok penjahat cyber yang sangat canggih lainnya, seperti Duqu, Flame, Equation dan Regin; mengadopsi beberapa teknik yang paling inovatif sehingga meningkatkan taktik mereka agar sulit untuk ditemukan.
Lokasi dan Profil Korban
Sampai saat ini, telah diidentifikasi lebih dari 30 organisasi di Rusia, Iran dan Rwanda, yang telah menjadi korban dan kemungkinan ada beberapa korban di negara-negara yang berbahasa Italia.
“Kami percaya bahwa akan lebih banyak lagi organisasi di berbagai lokasi yang menjadi korban selanjutnya,” kata Kaspersky Lab dalam keterangan resminya.
Berdasarkan analisis, organisasi yang menjadi target pada umumnya memiliki peran penting dalam memberikan layanan di suatu negara, di antaranya:
- Pemerintahan
- Militer
- Pusat Penelitian Ilmiah
- Operator Telekomunikasi
- Lembaga Finansial
Analisis forensik menunjukkan bahwa ProjectSauron telah beroperasi sejak Juni 2011 dan masih terus aktif hingga 2016. Vektor infeksi awal yang digunakan oleh ProjectSauron untuk menembus jaringan korban sampai saat ini masih belum diketahui.
“Sekarang ini banyak dari aksi serangan yang ditargetkan mengandalkan peralatan yang murah serta mudah untuk didapatkan. Namun, berbeda dengan ProjectSauron, mereka merupakan salah satu dari kelompok yang bergantung pada alat-alat buatan sendiri sehingga dapat diandalkan ditambah dengan kode scripted yang disesuaikan,” kata Vitaly Kamluk, Principal Security Researcher di Kaspersky Lab.
Vitaly menambahkan, penggunaan sekali pakai dari indikator unik, seperti kontrol server, kunci enkripsi dan banyak lainnya, digabung dengan pengadopsian teknik canggih dan termutakhir dari para pelaku ancaman utama lainnya menjadi sebuah aksi yang benar-benar terbilang baru.
“Satu-satunya cara untuk menghindari ancaman tersebut adalah dengan memiliki banyak lapisan keamanan di organisasi Anda, pergunakan rantai monitoring sensor bahkan terhadap anomali yang walau sekecil apapun menyimpang dari alur kerja organisasi, ditambah dengan pengetahuan mengenai ancaman dan analisis forensik untuk memburu pola bahkan ketika tampaknya tidak ada,” tegasnya.
Biaya, kompleksitas, ketekunan dan tujuan akhir dari aksi ini yaitu mencuri informasi penting dan rahasia dari organisasi penting milik negara, mengindikasikan keterlibatan atau dukungan dari sebuah negara.
Pakar keamanan dari Kaspersky Lab menyarankan organisasi untuk melakukan audit menyeluruh dari jaringan TI dan end point mereka serta menerapkan langkah-langkah berikut:
- Menggunakan solusi anti-targeted attack dan perlindungan endpoint terbaru atau yang sudah ada. Perlindungan end point sendiri tidaklah kuat untuk menahan serangan dari pelaku ancaman.
- Memanggil para ahli keamanan jika teknologi yang Anda gunakan memberikan peringatan adanya anomali. Solusi keamanan yang paling canggih memang dapat mendeteksi serangan bahkan saat serangan tersebut sedang berlangsung, namun profesional keamanan terkadang menjadi satu-satunya yang dapat secara efektif memblokir, mengurangi dan menganalisis serangan tersebut.
- Tambahkan kedua cara di atas dengan layanan pengetahuan terhadap ancaman: ini akan menginformasikan tim keamanan dari organisasi Anda tentang evolusi terbaru dalam lanskap ancaman, tren serangan dan tanda-tanda yang harus diwaspadai.
- Dan terakhir, tapi bukan yang akhir, karena seringnya serangan cyber dimulai dengan spear-phishing atau pendekatan lainnya terhadap karyawan, maka pastikan bahwa karyawan Anda memahami dan mempraktekkan perilaku siber yang bertanggung jawab.
Sumber berita: inet.detik.com
Sumber foto: itgovernance.co.uk
