Hacker Turla Rusia Gunakan Dropbox untuk Simpan Data yang Dicuri Malware

Cyberthreat.id – Perusahaan keamanan siber asal Slovakia, ESET, mendeteksi geng Turla, grup peretas yang diduga mendapat dukungan Rusia, menggunakan malware perusak yang menyebarkan pintu belakang (backdoor).

Malware yang belum dikenal itu dijuluki “Crutch” dan digunakan dalam aksi serangan sejak 2015 hingga awal 2020.

Crutch dirancang untuk memanen dan mengekstrak dokumen sensitif dan file-file menarik lainnya, kemudian disimpan ke akun Dropbox, layanan penyedia cloud daring, yang dikendalikan peretas.

"Kecanggihan serangan dan detail teknis dari penemuan ini semakin memperkuat persepsi bahwa kelompok Turla memiliki sumber daya yang cukup besar untuk mengoperasikan persenjataan yang begitu besar dan beragam," kata peneliti ESET Matthieu Faou dalam sebuah laporan seperti dikutip dari BleepingComputer, diakses Kamis (3 Desember 2020).

Peneliti juga menyebut Crutch mampu melewati beberapa lapisan keamanan dengan menyalagunakan infrastruktur resmi, dalam hal ini Dropbox.

ESET berkeyakinan Crutch berkaitan dengan Turla karena berdasarkan kesamaan dengan pintu belakang tahap kedua Gazer (alias WhiteBear) yang digunakan antara 2016 hingga 2017.

Selain itu, indikator lain adalah penggunaan kunci RC4 yang sama untuk mendekripsi muatan, nama file yang identik saat dijatuhkan pada mesin yang sama yang disusupi pada September 2017, dan jalur PDB (program database) yang hampir identik.

"Mengingat elemen-elemen ini, kami yakin bahwa Crutch adalah keluarga malware yang merupakan bagian dari gudang senjata Turla," tutur Faou.

Juga, berdasarkan “stempel waktu” lebih dari 500 arsip ZIP yang berisi dokumen curian dan diunggah ke akun Dropbox Turla antara Oktober 2018 dan Juli 2019, jam kerja operator Crutch sejalan dengan zona waktu UTC + 3 Rusia.

Turla mengirimkan Crutch sebagai pintu belakang tahap kedua pada mesin yang sudah disusupi menggunakan implan tahap pertama seperti Skipper pada 2017, berbulan-bulan setelah gangguan awal dalam beberapa kasus, dan kerangka kerja pasca-eksploitasi PowerShell Empire open-source

Versi awal Crutch (antara 2015 hingga pertengahan 2019) menggunakan saluran pintu belakang untuk berkomunikasi dengan akun Dropbox yang di-hardcode melalui API HTTP resmi dan alat pemantauan drive tanpa kemampuan jaringan yang mencari dan mengarsipkan dokumen menarik sebagai arsip terenkripsi.

Versi yang diperbarui (dilacak sebagai 'versi 4' oleh ESET) menambahkan monitor drive yang dapat dilepas dengan kemampuan jaringan dan menghapus kemampuan pintu belakang.

Kedua versi menggunakan pembajakan DLL untuk mendapatkan persistensi di perangkat yang disusupi di Chrome, Firefox, atau OneDrive, dengan Crutch v4 dihapus sebagai "komponen Microsoft Outlook lama".

"Crutch menunjukkan bahwa grup ini tidak kekurangan pintu belakang baru atau yang saat ini tidak berdokumen," Faou menyimpulkan.

"Penemuan ini semakin memperkuat persepsi bahwa kelompok Turla memiliki sumber daya yang cukup untuk mengoperasikan persenjataan yang begitu besar dan beragam."

Selama operasi spionase mereka, Turla telah membobol ribuan sistem milik pemerintah, kedutaan, serta fasilitas pendidikan dan penelitian dari lebih dari 100 negara.

Siapa Turla?

Grup APT Turla Rusia (juga dilacak sebagai “Waterbug” dan “VENOMOUS BEAR”) telah berada di balik pencurian informasi dan kampanye spionase sejak 1996.

Turla adalah tersangka utama di balik serangan yang menargetkan Pentagon dan NASA, Komando Pusat AS, dan Kementerian Luar Negeri Finlandia.

Peretas ini juga dikenal dengan metode tidak ortodoks yang mereka gunakan selama spionase dunia maya, seperti membuat trojan pintu belakang dengan API sendiri, mengendalikan malware menggunakan komentar pada foto Instagram Britney Spears, dan bahkan membajak infrastruktur dan malware APT OilRig Iran dan menggunakannya dalam operasi mereka sendiri.[]