Trustwave Temukan Backdoor GoldenSpy di Aplikasi Pajak China

Cyberthreat.id – Awal tahun ini, sebuah perusahaan yang baru saja membuka kantor di China diinstruksikan oleh bank China itu menginstal perangkat lunak pembayaran pajak lokal.

Namun, temuan perusahaan keamanan siber Trustwave, dalam laporan yang diterbitkan 25 Juni lalu, menyebutkan, bahwa perangkat lunak itu diduga mengandung perangkat lunak jahat (malware).

Malware tersebut diduga telah aktif sejak April lalu.Trustwave tidak mau menyebutkan siapa perusahaan yang menjadi kliennya tersebut, tapi mereka bergerak di bidang teknologi pertahanan yang berbisnis di AS, Inggris, dan Australia.

Trustwave juga enggan menyebutkan nama bank yang meminta instruksi tersebut.

Menurut Trustwave, seperti dikutip dari ZDNet, kliennya itu memberitahunya bahwa setelah membuka operasi di China, bank lokal setempat mengharuskan perusahaan menginstal aplikasi pajak Intelligent Tax yang dikembangkan oleh Golden Tax Department of Aisino Corporation.

Dalam analisisnya, Trustwave mengklaim menemukan adanya “pintu belakang” (backdoor) yang tersembunyi di aplikasi pajak tersebut.

Trustwave menamai pintu belakang itu dengan sebutan “GoldenSpy”.

Melalui pintu belakang ini, seseorang bisa mengakses secara jarak jauh untuk terhubung ke sistem dan menjalankan perintah Windows, bahkan mengunggah atau meningstal perangkat lunak lain, kata Trustwave.

Memang banyak jenis perangkat lunak yang memiliki fitur akses jarak jauh untuk layanan debugging.

Namun, menurut  Trustwave, peneliti justru mengidentifikasi fitur-fitur yang umum ditemukan di sebuah malware, contohnya:

• GoldenSpy menginstal dua versi yang identik, keduanya sebagai layanan autostart persisten. Jika salah satu berhenti berjalan, versi kedua akan muncul. Selain itu, menurut Trustwave, GoldenSpy menggunakan modul exeprotector yang memantau penghapusan. Jadi, ketika perangkat lunak itu terhapus, selanjutnya ia akan mengunduh dan menjalankan versi baru. Ini yang membuat file sulit dihapus dari sistem yang terinfeksi.
• Fitur hapus instalasi Intelligent Tax ternyata tidak menghapus GoldenSpy di perangkat. Justru, GoldenSpy masih berjalan di belakang layar sebagai pintu belakang.
• GoldenSpy tidak diunduh dan diinstal sampai dua jam usai instalasi Intelligent Tax. GoldenSpy menginstal secara diam-diam. Penundaan yang lama ini sangat tidak biasa dan merupakan metode untuk bersembunyi dari deteksi pengguna.
• GoldenSpy tidak terhubung ke infrastruktur jaringan perangkat lunak pajak (i-xinnuo[.[com), tapi malah ke ningzhidata[.]com, domain yang dikenal menampung variasi GoldenSpy lain.
• GoldenSpy beroperasi dengan hak istimewa tingkat sistem sehingga sangat berbahaya karena mampu mengeksekusi perangkat lunak apa pun pada sistem.

Siapa di balik ini?

Trustwave belum bisa memastikan siapa aktor di balik penanaman GoldenSpy tersebut.

Perusahaan tak berani menyimpulkan apakah pintu belakang itu dikembangkan intelijen pemerintah China atau diam-diam ditambahkan oleh oknum karyawan bank. Atau, justru dibuat oleh karyawan di Aisino Corporation.

Meski masih menyimpan tanda tanya, Trustwave setidaknya membunyikan “alarm” untuk perusahaan lain yang melakukan bisnis di China.

Sementara itu, Brian Hussey, mantan spesialis dunia maya FBI juga wakil presiden Trustwave untuk deteksi dan respons ancaman, mengatakan, temuan GoldenSpy adalah contoh terbaru agar perusahaan dan seseorang harus berhati-hati ketika beroperasi di China.

"Jika Anda melakukan operasi di China dan jika seseorang meminta Anda untuk menginstal sesuatu, kami mendesak untuk meningkatkan kewaspadaan," kata Hussey seperti dikutip dari NBCNews.

"Kami tidak tahu seberapa luas [aktivitas serangan malware] itu," kata Hussey.

"Apakah klien kami ditargetkan karena mereka memiliki informasi penting? Atau, apakah semua orang ditargetkan?"[]