Peretas Tercanggih Rusia Berulah Lagi, Awas Trojan Reductor!
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Jenis serangan baru ini disebut-sebut dilakukan oleh Turla, kelompok peretas terkenal yang dipercaya beroperasi di bawah perlindungan pemerintah Rusia.
Menurut laporan Kaspersky yang diterbitkan pekan lalu, peretas menginfeksi korban dengan trojan akses jarak jauh bernama Reductor, di mana mereka memodifikasi dua peramban (browser).
Proses ini melibatkan dua langkah. Pertama-tama mereka menginstal sertifikat digital mereka sendiri untuk setiap host yang terinfeksi. “Ini akan memungkinkan peretas untuk mencegat lalu lintas transport layer security (TLS)—protokol kriptografi agar komunikasi melalui internet aman—yang berasal dari pengguna,” tulis Kaspersky seperti dikutip dari ZDNet, Jumat (4 Oktober 2019).
Berita Terkait:
Kedua, mereka memodifikasi instalasi peramban Chrome dan Firefox untuk menambal fungsi pseudo-random number generation (PRNG). Fungsi-fungsi ini digunakan ketika menghasilkan angka acak yang diperlukan untuk proses negosiasi dan membangun koneksi TLS baru untuk koneksi HTTPS.
Peretas Turla menggunakan fungsi-fungsi PRNG yang tercemar itu untuk menambahkan sidik jari kecil di awal setiap koneksi TLS baru.
Kaspersky tidak memiliki penjelasan mengapa peretas Turla melakukan hal itu.
Namun, RAT Reductor yang ada pada perangkat pengguna akan memungkinkan peretas mengontrol sepenuhnya perangkat korban, termasuk kemampuan untuk mengawasi lalu lintas jaringan korban secara waktu nyata.
Satu penjelasan yang mungkin adalah bahwa peretas menggunakan sidik jari TLS sebagai mekanisme pengawasan sekunder jika korban menemukan dan menghapus trojan Reductor, tetapi tidak menginstal ulang peramban mereka.
Dengan sidik jari TLS, grup Turla akan dapat melihat aliran lalu lintas terenkripsi korban saat terhubung ke berbagai situs web di seluruh web.
Dugaan teori tersebut, tulis ZDNet, berarti Turla akan mampu secara pasif mengamati lalu lintas HTTPS di seluruh web. Secara kebetulan, teori ini dikonfirmasi oleh laporan Kaspersky.
Peneliti Kaspersky mengatakan mereka melacak infeksi trojan Reductor awal ke unduhan perangkat lunak yang dibuat oleh para korban dari situs web yang sah atau situs "warez".
Sebelumnya pada laporan Januari 2018 dari perusahaan keamanan cyber ESET juga mengungkapkan bahwa Turla telah mengkompromikan setidaknya empat ISP di Eropa Timur dan bekas Soviet dengan tujuan menodai unduhan dan menambahkan malware ke file yang sah.
Mungkin saja kompromi ISP itu terjadi lagi, tetapi kali ini, bukannya trojan Mosquito, melainkan Reductor.
Turla telah menjadi salah satu kelompok peretas tercanggih saat ini. Trik dan teknik yang digunakan kelompok ini selalu terdepan dari orang lain, misalnya:
- Kelompok ini diketahui telah membajak dan menggunakan satelit telekomunikasi untuk mengirimkan malware ke daerah-daerah terpencil di dunia.
- Mengembangkan malware yang menyembunyikan mekanisme kontrolnya di dalam komentar yang di-posting di foto Instagram Britney Spears
- Mengembangkan server email backdoors yang menerima perintah melalui spam, dan
- meretas kelompok peretas spionase dunia maya negara lain.
Ini juga bukan pertama kalinya Turla mengubah komponen browser untuk menyebarkan malware pada host yang terinfeksi. Grup ini sebelumnya telah menginstal add-on Firefox di backdoor di browser korban pada 2015, tentu saja, untuk mengawasi lalu lintas web pengguna.
