AWAS, SERANGAN DI KAWASAN TIMUR ASIA BIDIK ANEKA SERVER

(ilustrasi: Thinkstock)

Trend Micro belum lama ini mengabarkan bahwa lembaga-lembaga pemerintah di kawasan timur Asia sedang dibombardir oleh serangan-serangan yang menyasar server jaringan. Penyerang yang ditengarai sudah mumpuni dengan setiap topologi, tool, serta perangkat lunak target berhasil mengambil alih akses ke aneka server yang menjadi target dan menginstal malware di dalamnya. Aneka server yang telah berhasil diambil alih tersebut kemudian tidak saja dijadikan sebagai gerbang utama untuk melancarkan serangan-serangan lainnya ke seluruh penjuru jaringan, namun juga dialihfungsikan menjadi server command and controller (C&C). Diperkirakan, jenis serangan seperti ini telah dilancarkan sejak tahun 2014 lalu.

“Para penyerang berupaya untuk terus dapat menduduki jaringan tanpa mudah diusik-usik lagi dengan cara memodifikasi setiap aplikasi yang telah mereka instal di server. Beberapa file pada aplikasi tersebut—terutama yang berkaitan dengan produktivitas, keamanan, serta system utility apps—malah telah dipalsukan dan diubah supaya dapat digunakan untuk menyuntikkan file-file DLL yang berbahaya. Hebatnya lagi, aplikasi-aplikasi yang telah diubah tadi juga turut berjalan saat sistem dihidupkan atau system startup. Hal ini membuktikan bahwa aplikasi-aplikasi tersebut telah dimodifikasi dengan sedemikian rupa supaya aplikasi-aplikasi yang terinstal tersebut dipastikan juga dapat berjalan saat server mulai dioperasikan,” terang Andreas Ananto Kagawa (Country Manager, Trend Micro Indonesia). .

Menurut Trend Micro, terungkap lima aplikasi yang berhasil dimodifikasi oleh para penyerang, yakni Citrix XenApp IMA Secure Service (IMAAdvanceSrv.exe), EMC NetWorker (nsrexecd.exe), HP System Management Homepage (vcagent.exe), IBM BigFix Client (BESClient.exe), dan VMware Tools (vmtoolsd.exe).

Dari hasil pantauan yang dilakukan Trend Micro, pada awalnya para penyerang mengincar dua server. Kemudian mereka berlanjut menembus jaringan guna menyuntikkan infeksi lebih lanjut. Hal ini terus mereka lakukan secara kontinu hingga awal 2015 dan berhasil menginfeksi lebih banyak server lagi. Beberapa server yang terjangkiti di antaranya adalah aneka server pengelolaan. Hal ini menandakan bahwa mereka telah berhasil menerobos akses sangat jauh hingga ke seluruh sistem di wilayah subnet yang dikelola di bawah aneka server pengelolaan tersebut. Trend Micro sendiri belum mendeteksi apa yang hendak dilakukan oleh para penyerang tersebut atas keberhasilan mereka dalam menerobos akses ke jaringan tersebut. Namun ditengarai mereka memanfaatkan hal tersebut supaya mereka dapat terus menancapkan kaki mereka di jaringan dan terus dapat mencuri informasi-informasi di sana.

Para penyerang berhasil mengidentifikasi setiap aplikasi yang terinstal di server dan kemudian memodifikasinya untuk menjalankan kode-kode berbahaya. Tabel-tabel impor pada setiap aplikasi yang menjadi sasaran serangan dimodifikasi sedemikian rupa supaya memudahkan para penyerang menjadikannya file referensi bagi file DLL tertentu yang berbahaya (nama setiap DLL bisa bermacam-macam. Dapat disesuaikan dengan nama aplikasi yang menjadi target mereka). Jadi, saat aplikasi yang telah termodifikasi tersebut dijalankan, DLL yang bermuatan malware tersebut juga secara otomatis akan turut dijalankan pula.

Trend Micro juga menemukan adanya upaya dari para penyerang untuk menghapus jejak serangan mereka yakni dengan menghapus backdoor dan melalukan undo pada setiap perubahan yang mereka lakukan pada aplikasi, serta menghapus setiap DLL yang ditengarai berbahaya. Hal ini menunjukkan bahwa sebenarnya para penyerang juga telah sadar bahwa aktivitas yang mereka lakukan telah tercium. Bisa pula diindikasikan bahwa mereka melakukan hal tersebut dalam rangka hendak menghentikan upaya pembobolan informasi lebih lanjut. Namun apapun itu, Trend Micro akan terus berupaya untuk memantau setiap gerak-gerik dan perkembangan terbaru mengenai hal ini.

Kemafhuman penyerang pada lingkungan yang menjadi target serangan mereka membuka peluang bagi para penyerang untuk menyaru dari setiap upaya pemantauan. Luasnya akses yang mereka peroleh pada kasus-kasus serangan tertentu menunjukkan betapa mereka telah berhasil mendobrak hingga jauh ke dalam jaringan dan membuat keberadaan mereka tidak mudah dideteksi.

Hal tersebut di atas menunjukkan betapa pentingnya bagi perusahaan untuk meningkatkan kewaspadaannya terhadap perilaku-perilaku yang tidak biasa di dalam jaringannya, terutama kewaspadaan terhadap setiap file aplikasi yang dijalankan maupun segala bentuk komunikasi yang berlangsung di dalam jaringan.