Symantec Temukan Penerus Malware Buatan Orangeworm

Mohammad Mamduh    •    Jumat, 27 Apr 2018 10:38 WIB
symanteccyber security
Symantec Temukan Penerus Malware Buatan Orangeworm
Ilustrasi: Mytechnology

Jakarta: Symantec telah mengidentifikasi kelompok penyerang yang awalnya tidak diketahui yaitu Orangeworm yang telah menginstal backdoor custom yang disebut Trojan.Kwampirs di dalam perusahaan-perusahaan besar skala internasional yang beroperasi di sektor layanan kesehatan di Amerika Serikat, Eropa, dan Asia.

Pertama kali ditemukan pada bulan Januari 2015 lalu, Orangeworm juga telah melancarkan serangan-serangan tertarget ke perusahaan-perusahaan di industri terkait sebagai bagian dari serangan terhadap rantai pasokan yang lebih besar guna mencapai target utama mereka.

Korban-korban yang diketahui terinfeksi serangan ini antara lain perusahaan penyedia layanan kesehatan, farmasi, penyedia solusi TI untuk industri kesehatan, dan perusahaan manufaktur peralatan kesehatan, yang diperkirakan dilakukan Orangeworm demi spionase perusahaan.

Berdasarkan daftar korban yang terinfeksi, Orangeworm tidak memilih targetnya secara acak atau melakukan peretasan oportunistik.

Sebaliknya, kelompok ini tampaknya memilih targetnya secara hati-hati dan teliti, dengan melakukan perencanaan yang baik sebelum melancarkan serangan.

Menurut telemetri Symantec, hampir 40 persen perusahaan yang menjadi korban Orangeworm beroperasi di industri layanan kesehatan. Malware Kwampirs ditemukan pada mesin-mesin yang memiliki software yang terinstal untuk penggunaan dan pengendalian perangkat-perangkat pencitraan teknologi tinggi seperti mesin X-Ray dan MRI.



Selain itu, Orangeworm diketahui memiliki ketertarikan pada mesin-mesin yang digunakan untuk membantu pasien dalam mengisi formulir persetujuan untuk beragam prosedur yang diperlukan. Tidak jelas apa motif sebenarnya di balik serangan kelompok ini.

Jumlah korban Orangeworm terbanyak berada di AS, terhitung sebanyak 17 persen dari total jumlah serangan berdasarkan wilayah.

Meskipun Orangeworm hanya menjangkit segelintir korban pada tahun 2016 dan 2017 menurut telemetri Symantec, kami telah mengamati infeksi di beberapa negara lain karena kesamaan lingkup para korban yaitu perusahaan-perusahaan besar skala internasional.

Kami meyakini bahwa industri-industri tersebut juga menjadi target sebagai bagian dari serangan terhadap rantai pasokan yang lebih besar agar Orangeworm mendapatkan akses ke korban utama mereka yang terkait dengan industri kesehatan.

Target sekunder dari Orangeworm termasuk industri Manufaktur, Teknologi Informasi, Pertanian, dan Logistik.

Begitu Orangeworm telah menyusup ke jaringan korban, mereka menyebarkan Trojan.Kwampirs, yaitu suatu Trojan backdoor yang memberikan penyerang akses jarak jauh ke komputer yang mereka susupi.

Saat diaktifkan, Kwampirs mendekripsi dan mengekstrak salinan payload DLL utama dari bagian sumber daya. Sebelum menulis payload ke drive, Trojan ini memasukkan string yang dihasilkan secara acak ke tengah-tengah payload yang telah didekripsi tersebut sebagai upaya menghindari pendeteksian berbasis hash.

Backdoor itu juga mengumpulkan beberapa informasi dasar tentang komputer yang disusupi, termasuk beberapa informasi adapter jaringan dasar, informasi versi sistem, dan pengaturan bahasa.

Orangeworm kemungkinan menggunakan informasi tersebut untuk menentukan apakah sistem tersebut digunakan oleh seorang peneliti atau jika sang korban adalah target yang cukup berharga.

Setelah Orangeworm menentukan bahwa calon korbannya menarik, ia kemudian secara agresif menyalin backdoor di seluruh lini jaringan terbuka untuk menginfeksi komputer lain.

Pada titik ini, para penyerang kemudian mengumpulkan informasi tambahan terkait jaringan korban sebanyak mungkin, termasuk informasi apa pun yang terkait dengan komputer yang baru diakses, informasi adapter jaringan, network share yang tersedia, drive, dan file lain yang berada di komputer yang disusupi.

Kemudian, setelah terinfeksi, malware ini mengedarkan daftar besar server perintah dan kontrol (command and control/C&C) yang disematkan. Meskipun daftar tersebut sangat banyak, tidak semua C&C tersebut aktif dan terus memancarkan sinyal hingga koneksi berhasil dilancarkan.

Meskipun memodifikasi sebagian kecil dari dirinya ketika menyalin diri di seluruh jaringan sebagai sarana untuk menghindari deteksi, para operator tidak berusaha mengubah protokol komunikasi C&C sejak infeksi awal.


(MMI)

Bagaimana Kami Menguji

Kami menguji produk dengan subjektif karena mengutamakan pengalaman penggunaan. Meski demikian, kesimpulan yang kami ambil juga didasari sejumlah data dari perangkat lunak tertentu yang kami gunakan untuk melihat kinerja produk.

Khusus untuk menguji perangkat keras dan perangkat lunak komputer, kami menggunakan konfigurasi yang identik untuk tiap produk. Berikut komponen testbed resmi Metrotvnews.com.

Hardware

  • Prosesor: Intel Core i7-7700K, AMD Ryzen 7 1800X
  • Motherboard: ASUS Z270F STRIX Gaming, MSI X370 Gaming Pro Carbon
  • VGA: MSI GTX 1080 Gaming X, ASUS RX 480 STRIX 8GB
  • RAM: Corsair Vengeance LPX 3200MHz (2x8GB)
  • Penyimpanan: Corsair Neutron XTi 240GB
  • PSU: Corsair RM850X
  • Case: MSI DIY Case
  • Monitor: ASUS PB287Q 4K, AOC C3583FQ
  • Keyboard: Logitech G900 Chaos Spectrum, Logitech G402 Hyperion Fury
  • Mouse: Logitech G440, Logitech G240
  • Headset: Logitech G430, Logitech G633

Software

Performa dan Baterai: PCMark 8, 3DMark, Crystal Disk Mark
Gaming: The Witcher 3: Wild Hunt, Ashes of Singularity, Tom CLancy's Ghost Recon Wildlands

Kami juga menggunakan metode pengujian yang sama untuk semua gadget. Meski di pasar tersedia beragam perangkat lunak benchmarking, kami hanya memilih tiga berdasarkan reputasi mereka yang diakui secara internasional, 3DMark dan PCMark 2.0.