Begini Cara Kelompok Spionase Cyber Bersembunyi
- Vivanews/AgusTH
VIVA.co.id - Perusahaan antivirus, Kaspersky, mengungkapkan kelompok kejahatan internet untuk mata-mata seringkali menggunakan kelemahan keamanan satelit. Untuk menghindari deteksi aktivitas dan lokasi fisik mereka saat akan diungkap.
Salah satunya dilakukan aksi spionase cyber Rusia bernama kelompok Turla. Mereka memanfaatkan lemahnya keamanan pada jaringan satelit global yang digunakan sebagai solusi untuk anonimitas.
Diketahui, Turla adalah kelompok spionase cyber canggih yang telah aktif selama lebih dari delapan tahun. Para penyerang di balik Turla telah menginfeksi ratusan komputer di lebih dari 45 negara, termasuk Kazakhstan, Rusia, Tiongkok, Vietnam, dan AS.
Beberapa organisasi yang terkena dampaknya meliputi lembaga pemerintahan, kedutaan, militer, pendidikan, penelitian, dan perusahaan farmasi.
Kaspersky menjelaskan, pada tahap awal, epic backdoor akan melakukan profiling korban terlebih dahulu. Khusus untuk target penting, penyerang akan menggunakan mekanisme komunikasi berbasis satelit yang ekstensif pada tahap akhir serangan. Hal itu bertujuan untuk membantu mereka dalam menyembunyikan jejak.
Komunikasi melalui satelit dikenal sebagai alat untuk menyiarkan tayangan televisi dan merupakan komunikasi yang aman. Tetapi, satelit juga digunakan untuk menyediakan akses ke internet.
Layanan internet seperti ini kebanyakan digunakan di lokasi-lokasi terpencil. Sebab, di lokasi itu tipe-tipe pengakses internet lain tidak stabil atau lambat, atau bahkan tidak tersedia sama sekali.
"Salah satu tipe koneksi internet berbasis satelit yang paling banyak tersebar dan tidak mahal adalah koneksi “downstream-only"," ujar Kaspersky melalui keterangannya, Sabtu, 12 September 2015.
Dalam kasus itu, permintaan yang keluar dari PC pengguna dikomunikasikan melalui jalur konvensional (koneksi kabel atau GPRS). Traffic data yang masuk dikirim dari satelit. Teknologi tersebut memungkinkan pengguna untuk mengunduh dengan kecepatan yang relatif cepat.
Namun, ada satu kelemahan vital, yaitu semua traffic downstream dikembalikan ke PC tanpa dienkripsi. Pengguna yang berniat jahat dengan mudah menggunakan set peralatan dan software yang tidak mahal sekalipun dapat dengan mudah mencegat traffic tersebut dan mengakses seluruh data milik para user yang sedang mengunduh.
Kaspersky menuturkan, kalau kelompok Turla mengambil keuntungan dari kelemahan ini dengan cara yang berbeda. Mereka menggunakannya untuk menyembunyikan lokasi server Command and Control (C&C), salah satu bagian paling penting dari infrastruktur kelompok jahat tersebut.
"Server C&C secara esensial adalah sebuah 'homebase' untuk penyebaran malware ke mesin-mesin target. Menemukan lokasi server tersebut dapat menuntun penyelidik untuk menyibak detail mengenai aktor di balik aksi ini," kata Kaspersky.
Menariknya, taktik para aktor Turla seringkali menggunakan satelit dari penyedia koneksi internet yang berlokasi di Timur Tengah dan Afrika. Dalam penelitian Kaspersky Lab, para ahli melihat kelompok Turla menggunakan IP dari para penyedia jasa internet di Kongo, Lebanon, Libia, Niger, Nigeria, Somalia, dan Arab Saudi.
Cahaya satelit yang digunakan para penyedia jasa internet di negara-negara tersebut biasanya tidak meliputi wilayah Eropa dan Amerika Utara. Hal itu menjadi alasan bagi kebanyakan peneliti keamanan di negara-negara tersebut, sulit menginvestigasi serangan semacam itu.
Stefan Tanase, peneliti keamanan senior di Kaspersky Lab, mengatakan, dahulu, masyarakat telah melihat sekurang-kurangnya tiga aktor berbeda yang menggunakan internet berbasis satelit untuk menyembunyikan operasi mereka. Dari ketiganya, solusi yang dikembangkan kelompok Turla merupakan yang paling menarik dan tidak biasa.
"Mereka mampu mencapai level paling tinggi anonimitas dengan mengeksploitasi teknologi yang dipergunakan secara luas --satelit internet satu arah. Para penyerang dapat berada di mana saja dalam jangkauan satelit yang mereka pilih, sebuah area yang luasnya dapat mencapai lebih dari ribuan kilometer persegi,” ujarnya.
Tanase menambahkan, kondisi itu membuat mereka hampir tidak mungkin untuk dilacak oleh siapa pun yang ingin menungkap keberadaan mereka, usai melakukan aksinya.
"Seiring meningkatnya popularitas penggunaan metode tersebut, sangat penting untuk administrator sistem untuk menjalankan strategi pertahanan yang tepat untuk mengurangi serangan seperti ini," kata dia.