Terbaru

Peretas SolarWinds Berbagi Trik Dengan Cyberspies Rusia yang Dikenal

More from Author Shol Kurnia here: https://eternallifesecrets.com/author/shol-kurnia/

Sejak Pengungkapan Desember bahwa peretas melanggar perusahaan perangkat lunak manajemen TI SolarWinds, bersama dengan pelanggannya yang tak terhitung jumlahnya, Rusia telah menjadi tersangka utama. Tetapi bahkan ketika pejabat AS telah menyematkan serangan ke Kremlin dengan berbagai tingkat kepastian, tidak ada bukti teknis yang diterbitkan untuk mendukung temuan tersebut. Sekarang perusahaan keamanan siber Rusia Kaspersky telah mengungkapkan petunjuk pertama yang dapat diverifikasi — tiga di antaranya, sebenarnya — yang tampaknya menghubungkan peretas SolarWinds dan kelompok spionase dunia maya Rusia yang terkenal.

Pada Senin pagi Kaspersky menerbitkan bukti baru kemiripan teknis antara malware yang digunakan oleh peretas SolarWinds misterius, yang dikenal dengan nama industri keamanan termasuk UNC2452 dan Dark Halo, dan grup peretas terkenal Turla, yang diyakini berasal dari Rusia dan juga dikenal oleh menamakan Venomous Bear and Snake. Kelompok tersebut secara luas diduga bekerja atas nama FSB, penerus Rusia ke KGB, dan telah melakukan peretasan yang berfokus pada spionase selama beberapa dekade. Peneliti Kaspersky menjelaskan bahwa mereka tidak mengklaim UNC2452 adalah Turla; pada kenyataannya, mereka memiliki alasan untuk percaya bahwa peretas SolarWinds dan Turla tidak sama. Tetapi mereka berpendapat bahwa temuan mereka menunjukkan bahwa satu kelompok peretas setidaknya “menginspirasi” yang lain, dan mungkin memiliki anggota yang sama di antara mereka atau pengembang perangkat lunak bersama yang membuat perangkat lunak perusak mereka.

Peneliti Kaspersky menemukan tiga kesamaan dalam program backdoor UNC2452 yang dikenal sebagai SunBurst dan malware Turla berusia lima tahun yang dikenal sebagai Kazuar, yang pertama kali ditemukan oleh peneliti keamanan di Palo Alto Networks pada tahun 2017. Kepala Riset & Analisis Global Kaspersky Tim, Costin Raiu, mencatat bahwa tiga kesamaan antara alat peretas bukanlah potongan kode yang identik, melainkan teknik penceritaan yang keduanya telah digabungkan. Itu sebenarnya membuat hubungan itu lebih penting, kata Raiu. “Ini bukan upaya copy-paste. Ini lebih seperti jika saya seorang programmer dan saya menulis beberapa alat, dan mereka meminta saya untuk menulis sesuatu yang serupa, saya akan menulisnya dengan filosofi yang sama,” kata Raiu. “Ini lebih seperti tulisan tangan. Tulisan tangan atau gaya itu menyebar ke berbagai proyek yang ditulis oleh orang yang sama.”

Sejak pelanggaran SolarWinds pertama kali terungkap, Kaspersky mengatakan pihaknya telah menyisir arsip malware untuk menemukan koneksi apa pun. Hanya setelah berminggu-minggu meninjau sampel malware di masa lalu, salah satu peneliti, Georgy Kucherin yang berusia 18 tahun, dapat menemukan koneksi ke Kazuar, yang telah disembunyikan oleh teknik yang digunakan Turla untuk mengaburkan kodenya. Kucherin sekarang telah menemukan bahwa baik Kazuar dan Sunburst menggunakan teknik kriptografi yang sangat mirip di seluruh kode mereka: khususnya algoritma hashing 64-bit yang disebut FNV-1a, dengan langkah tambahan tambahan yang dikenal sebagai XOR untuk mengubah data. Kedua malware tersebut juga menggunakan proses kriptografi yang sama untuk menghasilkan pengenal unik untuk melacak korban yang berbeda, dalam hal ini fungsi hashing MD5 diikuti oleh XOR.

Terakhir, kedua spesimen malware menggunakan fungsi matematika yang sama untuk menentukan “waktu tidur” acak sebelum malware berkomunikasi kembali ke server kontrol perintah dalam upaya untuk menghindari deteksi. Waktu-waktu itu bisa selama dua minggu untuk Sunburst dan selama empat minggu untuk Kazuar, penundaan yang luar biasa lama yang menunjukkan tingkat kesabaran dan siluman yang sama dibangun ke dalam alat.

Bersama-sama, ketiga kecocokan dalam fungsi malware tersebut kemungkinan besar mewakili lebih dari sekadar kebetulan, kata Raiu dari Kaspersky. “Salah satu dari tiga kesamaan ini, jika Anda mengambilnya sendiri, bukanlah hal yang aneh,” katanya. “Dua kemiripan seperti itu, yang tidak terjadi setiap hari. Tiga jelas merupakan penemuan yang menarik.”

Lebih dari sekadar “menarik”, koneksi tersebut mewakili “penemuan hebat”, kata Dmitri Alperovitch, salah satu pendiri dan mantan kepala petugas teknologi perusahaan keamanan CrowdStrike. “Ini mengkonfirmasikan atribusi ke setidaknya intelijen Rusia,” kata Alperovitch.

.

Article written by:

Halo semuanya, AKU Shol Kurnia, Saya Jurnalis Lepas, saya bekerja untuk majalah digital dan cetak. Inquiries: [email protected]

Leave a Reply

Your email address will not be published. Required fields are marked *

back to top