KASPERSKY: SALURAN KOMUNIKASI PEMERINTAHAN BERHASIL DIRETAS OLEH AKSI SPIONASE PROJECTSAURON
Pada bulan September 2015, Platform Anti-Targeted Attack milik Kaspersky Lab memberikan peringatan terhadap fitur yang tidak biasa di jaringan bisnis milik klien perusahaan. Anomali ini mengantarkan para peneliti Kaspersky Lab ke ‘ProjectSauron’, sebuah kelompok penjahat siber yang disokong oleh sebuah negara dan menyerang organisasi di negara lain dengan seperangkat alat yang unik untuk setiap korbannya, sehingga membuat indikator tradisional terhadap peretasan menjadi tidak berguna. Tujuan dari serangan ini tampaknya aksi spionase siber.
ProjectSauron sangat tertarik untuk mendapatkan akses dari komunikasi terenkripsi, memburu akses tersebut dengan menggunakan modular canggih dari platform spionase siber yang menggabungkan seperangkat alat dan teknik yang unik. Fitur yang tidak biasa dari taktik ProjectSauron ini adalah sengaja menghindari pola, ProjectSauron mengkustomisasi implan dan infrastruktur untuk setiap target, dan tidak pernah menggunakannya dua kali. Cara ini, ditambah dengan beberapa rute untuk exfiltration dari data yang dicuri, seperti saluran email yang sah dan DNS, memungkinkan ProjectSauron untuk melakukan aksi spionase secara rahasia dan dalam jangka panjang di jaringan milik korban.
ProjectSauron juga memberikan kesan bahwa mereka adalah sebuah kelompok penjahat siber tradisional yang berpengalaman dan telah mempelajari teknik-teknik dari kelompok penjahat siber yang sangat canggih lainnya, seperti Duqu, Flame, Equation dan Regin; mengadopsi beberapa teknik yang paling inovatif sehingga meningkatkan taktik mereka agar sulit untuk ditemukan.
Sampai saat ini, telah diidentifikasi lebih dari 30 organisasi di Rusia, Iran dan Rwanda, yang telah menjadi korban dan kemungkinan ada beberapa korban di negara-negara yang berbahasa Italia. Kaspersky meyakini bahwa akan lebih banyak lagi organisasi di berbagai lokasi yang menjadi korban selanjutnya. Berdasarkan analisis, organisasi yang menjadi target pada umumnya memiliki peran penting dalam memberikan layanan di suatu negara, diantaranya lembaga Pemerintahan, Militer, Pusat Penelitian Ilmiah, Operator Telekomunikasi, dan Lembaga Finansial. Analisis forensik menunjukkan bahwa ProjectSauron telah beroperasi sejak Juni 2011 dan masih terus aktif hingga 2016. Vektor infeksi awal yang digunakan oleh ProjectSauron untuk menembus jaringan korban sampai saat ini masih belum diketahui.
Pakar keamanan dari Kaspersky Lab menyarankan organisasi untuk melakukan audit menyeluruh dari jaringan TI dan endpoint mereka serta menerapkan langkah-langkah berikut:
- Menggunakan solusi anti-targeted attack dan perlindungan endpoint terbaru atau yang sudah ada. Perlindungan endpoint sendiri tidaklah kuat untuk menahan serangan dari pelaku ancaman.
- Memanggil para ahli keamanan jika teknologi yang Anda gunakan memberikan peringatan adanya anomali. Solusi keamanan yang paling canggih memang dapat mendeteksi serangan bahkan saat serangan tersebut sedang berlangsung, namun profesional keamanan terkadang menjadi satu-satunya yang dapat secara efektif memblokir, mengurangi dan menganalisis serangan tersebut.
- Tambahkan kedua cara di atas dengan layanan pengetahuan terhadap ancaman, ini akan menginformasikan tim keamanan dari organisasi Anda tentang evolusi terbaru dalam lanskap ancaman, tren serangan dan tanda-tanda yang harus diwaspadai.
- Dan terakhir, tapi bukan yang akhir, karena seringnya serangan siber dimulai dengan spear-phishing atau pendekatan lainnya terhadap karyawan, maka pastikan bahwa karyawan Anda memahami dan mempraktekkan perilaku siber yang bertanggung jawab.
Semua produk dari Kaspersky Lab mendeteksi ProjectSauron sebagai HEUR:Trojan.Multi.Remsec.gen.
