Malware yang Menginfeksi SolarWinds Mirip Milik Geng Hacker Turla, Siapa Mereka?

Cyberthreat.id - Peretas (hacker) yang menyebarkan malware “pintu belakang” (backdoor) lewat pembaruan Orion, aplikasi manajemen TI milik SolarWinds, diyakini oleh Kaspersky, perusahaan keamanan siber Rusia, memiliki kemiripan dengan malware yang sering dipakai geng hacker Turla. Siapa geng peretas ini?

Geng Turla dikenal sebagai penyebar malware spionase dunia maya. Targetnya mulai sektor pemerintahan, pendidikan, militer, kedutaan besar, penelitian, teknologi, energi, media, LSM, industri dirgantara, ritel hingga perusahaan farmasi.

Di kalangan industri keamanan siber, geng tersebut diyakini kuat berasal dari Rusia berdasarkan bahasa yang digunakan.

Bahkan, Thailand Computer Emergency Response Team (Thai CERT) meyakini bahwa Turla—hacker berkategori Adavanced Persistent Threat/APT ini—disponsori oleh pemerintah Rusia dan mulai terlihat pertama kali pada 1996. Hanya, baru mulai menyerang pada 2000-an. Turla mengembangkan diri dari tahun ke tahun senjata malware-nya.

Turla awalnya dikenal karena menyerang Komando Pusat Amerika Serikat pada 2008. Pada saat itu diyakini Turla menggunakan “ComRAT” atau “Agent.BTZ”, malware yang dirancang untuk mencuri data dan menginstal malware lainnya. Pada 2015 Turla meningkatkan aktivitas serangannya.

Sejak 2013, peneliti Kaspersky Lab menganalisis operasi spionase besar-besaran Turla yang bernama “Epic Turla”. Kaspersky menyebut operasi mata-mata siber ini paling canggih.

Nama “Turla” diberikan Kaspersky setelah menganalisis selama 10 bulan dan mengunggah analisisnya pada 7 Agustus 2014. Pada saat itu, Epic Turla dianggap sebagai tahap awal dari mekanisme infeksi korban Turla dan menginfeksi beberapa ratus komputer di lebih dari 45 negara salah satunya perusahaan militer Swiss RUAG.

Selain nama “Turla”, beberapa perusahaan keamanan siber yang menelitinya juga memberi julukan lain, antaranya:

• Waterbug oleh Symantec
• Venomous Bear (CrowdStrike)
• Group 88 (Talos)
• SIG2, SIG15, dan SIG23 (NSA)
• Iron Hunter dan CTG-8875 (SecureWorks)
• Pacifier APT (Bitdefender)
• ATK 13 (Thales)
• ITG12 (IBM)
• Makersmark (ESET)
• Krypton (Microsoft),
• Belugasturgeon (Accenture),
• Sebutan lain, seperti Popeye, Wraith, TAG-0530.

Sejumlah negara yang pernah diserang mereka, kurang lebih sekitar 45 negara, antara lain:

Afghanistan, Aljazair, Armenia, Australia, Austria, Azerbaijan, Belarusia, Belgia, Bolivia, Botswana, Brasil, Tiongkok , Chile, Denmark , Ekuador , Estonia, Finlandia, Prancis, Georgia, Jerman, Hong Kong, Hongaria, India, Indonesia, Iran, Irak, Italia, Jamaika, Yordania, dan Kazakhstan.

Lalu, Kirgizstan, Kuwait, Latvia, Meksiko, Belanda, Pakistan, Paraguay, Polandia, Qatar, Rumania, Rusia, Serbia, Spanyol, Arab Saudi, Afrika Selatan, Swedia, Swiss, Suriah, Tajikistan, Thailand, Tunisia, Turkmenistan, Inggris, Ukraina, Uruguay, AS, Uzbekistan, Venezuela, Vietnam, dan Yaman.

Kekhasan serangan

Geng Turla memiliki kekhasan dalam menginfeksi awal korban yakni dengan email spear-phising (ini jenis phishing yang berfokus pada target secara spesifik) berisikan dokumen berbahaya.

Lalu, taktik serangan water hole (situs web yang dikunjungi oleh calon korban, yang telah disusupi sebelumnya oleh penyerang dan disuntikkan malware).

Setelah mesin korban terinfeksi malware yang kebanyakan berupa backdoor, komputer tersebut akan terhubung ke server perintah dan kontrol (C&C) milik Turla. Di sinilah, proses transfer data yang dicuri malware.

Backdoor yang dibuat Turla awal-awal dianalisis oleh Kaspersky dikenal sebagai "WorldCupSec", "TadjMakhal", "Wipbot" atau "Tavdig".

Awalnya Turla fokus menargetkan pengguna Windows, tapi pada 2015 ditemukan modul yang memiliki jangkauan lebih luas yakni menginfeksi komputer yang menjalankan Linux.

Pada 2015, Turla juga dikabarkan membajak lalu lintas internet dengan C&C-nya berbasis satelit. Dengan begini, anonimitas Turla jauh lebih sulit diketahui ketimbang metode konvensional, seperti menyewa server pribadi atau meretas server yang sah.

Dari sepak terjangnya, Turla terlihat tak berhenti sejak dulu melakukan aksi spionase ke instansi pemerintahan dan sektor penting lainnya dengan memasang backdoor.

Crutch

Pada 215, Turla menyusup ke 100 situs web yang mengarahkan ke situs web kedua berisi skrip WITCHCOVEN yang mampu membuat profil atau mengumpulkan informasi teknis di komputer pengguna. Lalu, di tahun itu pula, peneliti perusahaan keamanan siber ESET menemukan backdoor bernama “Crutch” yang diyakini milik APT Turla—malware ini pun dipakai hingga awal 2020.

Crutch ini menargetkan jaringan sejumlah negara di Uni Eropa. Crutch digunakan Turla untuk mengekstrak dokumen sensitif dan file lainnya.

Bahkan, Crutch mampu melewati beberapa lapisan keamanan dengan menyalahgunakan infrastruktur resmi Dropbox dengan lalu lintas jaringan normal sambil mengekstrak dokumen curian dan menerima perintah dari operatornya.

Skipper

Backdoor selanjutnya yang dibuat Turla bernama “Skipper” yang berkeliaran pada November 2016. Ini dideteksi oleh peneliti Microsoft John Lambert pada 28 Januari 2017.

Carbon

Pada 2017, peneliti ESET menemukan versi baru dari malware yang dibuat Turla yakni “Carbon”. Mekanismenya, Carbon ini digunakan oleh Turla setelah mengintai sistem korban.

Dengan kata lain, setelah infeksi awal melalui spear-phising atau water hole, korban akan dikenai backdoor tahap awal, misalnya, “Tavdig”. Setelah fase pengintaian selesai, pintu belakang tahap kedua, Carbon, dipasang pada sistem utama.

ESET mengatakan Carbon merupakan backdoor paling canggih yang digunakan Turla untuk mencuri informasi sensitif dari target.

Kazuar

Di tahun yang sama, versi backdoor baru muncul dari Turla yang dianalisis oleh Palo Alto. Malware itu bernama “Kazuar”, memiliki kemampuan akses penuh oleh pelaku ke sistem yang disusupi.

Malware ini pun diyakini sebagai pengganti Carbon—berarti dipakai sebagai malware tahap kedua. Kazuar ini diyakini oleh Kaspersky mirip dengan backdoor “Sunburst” yang menginfeksi aplikasi jaringan TI milik SolarWinds, Orion.

Di tahun itu pula, Turla menginfeksi dengan ekstensi Firefox berbahaya setelah korban mengunjungi situs web palsu. Ekstensi itu memiliki kemampuan terhubung dengan domain C&C-nya.

Gazer

Pda 2017, Turla terdeteksi memakai backdoor “Gazer” yang digunakan untuk tahap kedua setelah komputer korban terinfeksi oleh malware tahap pertama. Malware satu ini susah dideteksi dan butuh identifikasi secara detail karena senjata ini dapat menghindari perangkat lunak keamanan.

Menurut peneliti ESET, Gazer pernah dipakai Turla untuk menyerang sejumlah negara di Eropa Tenggara da negara-negara pecahan Uni Soviet. Infeksi awal masih dengan menggunakan email spear-phishing. Malware ini dipakai untuk memata-matai pejabat pemerintah asing dan mengumpulkan intelijen dari jarak jauh.

KopiLuwak

Pada 2017, ada lagi pintu belakang baru Turla yang disebut “JavaScript/KopiLuwak” yang diyakini sebagai alat pengintaian tahap awal. KopiLuwak ini disebarkan ke penerima rapat satuan tugas G20 tentang "Ekonomi Digital".

Neuron dan Nautilus

Setahun kemudian, Turla meluncurkan lagi malware “Neuron” dan “Nautilus” yang dirancang untuk menyematkan diri ke jaringan yang disusupi dan secara diam-diam melakukan spionase.

Mosquito

Di tahun yang sama, ESET menemukan operasi baru Turla dengan malware “Mosquito”. Malware ini disamarkan pada penginstal Flash Player palsu. Targetnya pun masih kedutaan dan konsulat di Eropa Timur.

Topinambour

Sepanjang 2018, Carbon, Kopiluwak, serta Mosquito aktif digunakan. Setahun setelah itu, Turla pun memperbarui senjatanya bernama “Topinambour”. Malware ini digunakan untuk mendistribusikan KopiLuwak-nya melalui paket instalasi yang terinfeksi untuk program perangkat lunak sah seperti jaringan pribadi virtual yang menghindari sensor internet. (Baca:  Awas Kelompok Hacker Turla Keluarkan Senjata Topinambour)

Reductor

Lalu, pada april 2019, Turla mengenalkan trojan akses jarak jauh bernama “Reductor”, yang memungkinkan peretas mengontrol perangkat korban, termasuk kemampuan untuk mengawasi lalu lintas jaringan korban. (Baca: Peretas Tercanggih Rusia Berulah Lagi, Awas Trojan Reductor)

Masih di bulan yang sama, peneliti ESET menemukan Turla menggunakan PowerShell baru yang menyediakan pemuatan langsung dalam memori dan eksekusi malware dan pustaka yang dapat dieksekusi. Ini memungkinkan Turla menghindari deteksi ketika file berbahaya dijatuhkan pada disk.

ComRAT

Awal 2020, malware tua Turla bernama “ComRAT” yang telah dikembangkan menjadi versi 4 ini digunakan menyerang dua kementerian luar negeri di Eropa Timur dan satu parlemen nasional di wilayah Kaukasus.

ComRAT v4 ini mencakup dua fitur baru seperti kemampuan untuk mengekstrak log antivirus untuk mengetahui apakah malware-nya terdeteksi perangkat lunak antivirus atau tida. Jika terdeteksi, operator malware bisa mengubah perintah.

Fitur kedua, kemampuan untuk mengontrol malware menggunakan kotak masuk Gmail. Ini digunakan sebagai C&Cnya peretas Turla.

Serangan kombinasi

Medio 2020, Turla dilaporkan oleh peneliti Accenture Cyber Threat Intelligence meretas organisasi pemerintah Eropa dengan kombinasi backdoor “HyperStack” (berbasis remote procedure call [RPC] yang digunakan untuk mengekstrak data dari jaringan korban), “RAT Kazuar”, dan “Carbon”.

Lalu, Desember 2020 ditemukan juga bahwa Turla memanfaatkan Dropbox untuk menyimpan data yang dicuri dari malware Crutch.[]

Redaktur: Andi Nugroho