Hacker Rusia Pakai Satelit untuk Sadap 45 Negara
Trisno Heriyanto | CNN Indonesia
Jumat, 11 Sep 2015 16:06 WIB
Jakarta, CNN Indonesia -- Turla, adalah kelompok siber asal Rusia yang dikenal banyak melakukan aksi spionase di banyak negara. Perusahan keamanan dari negara yang sama, Kaspersky, menginvestigasi aksi kelompok tersebut.
Turla adalah kelompok spionase cyber canggih yang telah aktif lebih dari 8 tahun. Para penyerang di balik Turla membuat malwre yang telah menginfeksi ratusan komputer di lebih dari 45 negara, termasuk Kazakhstan, Rusia, China, Vietnam, dan AS.
Turla dikenal kejam dan sulit dideteksi. Sebagai solusi untuk anonimitas, kelompok tersebut memanfaatkan lemahnya keamanan dalam jaringan satelit global.
Komunikasi melalui satelit dikenal sebagai alat untuk menyiarkan tayangan televisi, dan merupakan komunikasi yang aman. Tetapi satelit juga bisa digunakan untuk menyediakan akses internet.
Layanan internet seperti ini kebanyakan digunakan di lokasi-lokasi terpencil. Salah satu tipe koneksi internet berbasis satelit yang paling banyak tersebar dan tidak mahal adalah koneksi “downstream-only.”
Dalam kasus ini, permintaan yang keluar dari komputer pengguna dikomunikasikan melalui jalur konvensional (koneksi kabel atau GPRS), di mana traffic data yang masuk dikirim dari satelit.
Teknologi ini memungkinkan pengguna untuk mengunduh dengan kecepatan yang relatif cepat. Namun, ada satu kelemahan besar yaitu semua traffic downstream dikembalikan ke PC tanpa dienkripsi.
Pengguna yang berniat jahat dengan mudah menggunakan set peralatan dan software yang tidak mahal sekalipun dapat dengan mudah mencegat traffic tersebut dan mengakses seluruh data milik para pengguna yang sedang mengunduh.
Kelompok Turla mengambil keuntungan dari kelemahan ini dengan cara yang berbeda, mereka menggunakannya untuk menyembunyikan lokasi server Command and Control (C&C), salah satu bagian paling penting dari infrastruktur kelompok jahat tersebut.
Server C&C secara esensial adalah sebuah “homebase” untuk penyebaran malware ke mesin-mesin target. Menemukan lokasi server tersebut dapat menuntun penyelidik untuk menyibak detail mengenai aktor di balik aksi ini.
Berikut adalah cara-cara yang digunakan oleh kelompok Turla untuk menghindari resiko tersebut:
Pertama-tama, kelompok ini ‘mendengarkan’ downstream dari satelit untuk mengidentifikasi alamat IP yang aktif dari pengguna internet berbasis satelit yang sedang online saat itu.
Kemudian mereka memilih alamat IP yang online untuk digunakan sebagai kedok server C&C, tanpa sepengetahuan pengguna IP tersebut.
Mesin yang terinfeksi Turla kemudian diberi instruksi untuk menarik data dari IP yang terpilih milik pengguna internet berbasis satelit regular. Data tersebut melintas melalui jalur konvensional, ke teleport dari satelit penyedia jasa internet, ke satelit, dan akhirnya turun ke pengguna IP yang dipilih.
Yang menarik, pemilik resmi IP yang dimanfaatkan oleh penyerang untuk menerima data dari mesin yang terinfeksi, juga akan menerima paket data ini, tetapi tidak menyadarinya.
Hal ini dikarenakan penyerang Turla menginstruksikan mesin yang terinfeksi untuk mengirim data ke port yang, di kebanyakan kasus, tertutup secara default.
Jadi PC dari si pengguna resmi hanya akan menaruh paket ini, sementara server C&C Turla, yang menahan port supaya terbuka, akan menerima dan memproses data yang dicuri.
Hal menarik lainnya adalah taktik para aktor Turla seringkali menggunakan satelit dari penyedia koneksi internet yang berlokasi di Timur Tengah dan Afrika. Dalam penelitian Kaspersky Lab, para ahli melihat kelompok Turla menggunakan IP dari para penyedia jasa internet di Kongo, Lebanon, Libia, Niger, Nigeria, Somalia dan Arab Saudi.
Cahaya satelit yang digunakan para penyedia jasa internet di negara-negara ini biasanya tidak meliputi wilayah Eropa dan Amerika Utara, membuat kebanyakan peneliti keamanan di negara-negara tersebut sulit untuk menginvestigasi serangan semacam ini.
“Dulu, kita telah melihat sekurang-kurangnya 3 aktor berbeda yang menggunakan internet berbasis satelit untuk menyembunyikan operasi mereka. Dari ketiganya, solusi yang dikembangkan kelompok Turla merupakan yang paling menarik dan tidak biasa,” kata Stefan Tanase, Peneliti Keamanan Senior di Kaspersky Lab.
“Mereka mampu mencapai level paling tinggi anonimitas dengan mengeksploitasi teknologi yang dipergunakan secara luas - satelit internet satu arah,” tambah Tanase, dalam keterangan yang diterima CNN Indonesia, Jumat (11/9).
Adapun jenis-jenis malware Turla yang berhasil dideteksi antara lain:
- Backdoor.Win32.Turla.
- Rootkit.Win32.Turla.
- HEUR:Trojan.Win32.Epiccosplay.gen
- HEUR:Trojan.Win32.Generic
(eno)
Turla adalah kelompok spionase cyber canggih yang telah aktif lebih dari 8 tahun. Para penyerang di balik Turla membuat malwre yang telah menginfeksi ratusan komputer di lebih dari 45 negara, termasuk Kazakhstan, Rusia, China, Vietnam, dan AS.
Turla dikenal kejam dan sulit dideteksi. Sebagai solusi untuk anonimitas, kelompok tersebut memanfaatkan lemahnya keamanan dalam jaringan satelit global.
ADVERTISEMENT
SCROLL TO CONTINUE WITH CONTENT
Layanan internet seperti ini kebanyakan digunakan di lokasi-lokasi terpencil. Salah satu tipe koneksi internet berbasis satelit yang paling banyak tersebar dan tidak mahal adalah koneksi “downstream-only.”
Teknologi ini memungkinkan pengguna untuk mengunduh dengan kecepatan yang relatif cepat. Namun, ada satu kelemahan besar yaitu semua traffic downstream dikembalikan ke PC tanpa dienkripsi.
Pengguna yang berniat jahat dengan mudah menggunakan set peralatan dan software yang tidak mahal sekalipun dapat dengan mudah mencegat traffic tersebut dan mengakses seluruh data milik para pengguna yang sedang mengunduh.
Kelompok Turla mengambil keuntungan dari kelemahan ini dengan cara yang berbeda, mereka menggunakannya untuk menyembunyikan lokasi server Command and Control (C&C), salah satu bagian paling penting dari infrastruktur kelompok jahat tersebut.
Server C&C secara esensial adalah sebuah “homebase” untuk penyebaran malware ke mesin-mesin target. Menemukan lokasi server tersebut dapat menuntun penyelidik untuk menyibak detail mengenai aktor di balik aksi ini.
 |
Berikut adalah cara-cara yang digunakan oleh kelompok Turla untuk menghindari resiko tersebut:
Pertama-tama, kelompok ini ‘mendengarkan’ downstream dari satelit untuk mengidentifikasi alamat IP yang aktif dari pengguna internet berbasis satelit yang sedang online saat itu.
Kemudian mereka memilih alamat IP yang online untuk digunakan sebagai kedok server C&C, tanpa sepengetahuan pengguna IP tersebut.
Mesin yang terinfeksi Turla kemudian diberi instruksi untuk menarik data dari IP yang terpilih milik pengguna internet berbasis satelit regular. Data tersebut melintas melalui jalur konvensional, ke teleport dari satelit penyedia jasa internet, ke satelit, dan akhirnya turun ke pengguna IP yang dipilih.
Yang menarik, pemilik resmi IP yang dimanfaatkan oleh penyerang untuk menerima data dari mesin yang terinfeksi, juga akan menerima paket data ini, tetapi tidak menyadarinya.
Hal ini dikarenakan penyerang Turla menginstruksikan mesin yang terinfeksi untuk mengirim data ke port yang, di kebanyakan kasus, tertutup secara default.
Jadi PC dari si pengguna resmi hanya akan menaruh paket ini, sementara server C&C Turla, yang menahan port supaya terbuka, akan menerima dan memproses data yang dicuri.
Hal menarik lainnya adalah taktik para aktor Turla seringkali menggunakan satelit dari penyedia koneksi internet yang berlokasi di Timur Tengah dan Afrika. Dalam penelitian Kaspersky Lab, para ahli melihat kelompok Turla menggunakan IP dari para penyedia jasa internet di Kongo, Lebanon, Libia, Niger, Nigeria, Somalia dan Arab Saudi.
 |
Cahaya satelit yang digunakan para penyedia jasa internet di negara-negara ini biasanya tidak meliputi wilayah Eropa dan Amerika Utara, membuat kebanyakan peneliti keamanan di negara-negara tersebut sulit untuk menginvestigasi serangan semacam ini.
“Dulu, kita telah melihat sekurang-kurangnya 3 aktor berbeda yang menggunakan internet berbasis satelit untuk menyembunyikan operasi mereka. Dari ketiganya, solusi yang dikembangkan kelompok Turla merupakan yang paling menarik dan tidak biasa,” kata Stefan Tanase, Peneliti Keamanan Senior di Kaspersky Lab.
“Mereka mampu mencapai level paling tinggi anonimitas dengan mengeksploitasi teknologi yang dipergunakan secara luas - satelit internet satu arah,” tambah Tanase, dalam keterangan yang diterima CNN Indonesia, Jumat (11/9).
Adapun jenis-jenis malware Turla yang berhasil dideteksi antara lain:
- Backdoor.Win32.Turla.
- Rootkit.Win32.Turla.
- HEUR:Trojan.Win32.Epiccosplay.gen
- HEUR:Trojan.Win32.Generic
(eno)
TOPIK TERKAIT
ARTIKEL
TERKAIT
TERKAIT
LAINNYA DI DETIKNETWORK