Kaspersky Rilis Kegiatan Mata Mata Bersandikan Net Traveler

Driau.com - Tim pakar Kaspersky Lab hari ini merilis laporan penelitian baru mengenai NetTraveler, bagian dari program berbahaya yang digunakan oleh para pelaku APT (advanced persistent threat) untuk menginfeksi lebih dari 350 korban profil tinggi/penting di 40 negara. Kelompok NetTraveler telah menginfeksi korban dari berbagai latar belakang baik di sektor publik maupun swasta termasuk lembaga pemerintah, kedutaan besar, industri migas, pusat penelitian, kontraktor militer dan para aktivis.

Berdasarkan laporan Kaspersky Lab tersebut, para pelaku telah aktif sejak 2004, namun volume kegiatan tertinggi terjadi pada kurun 2010 – 2013. Temuan terbaru, group NetTraveler paling banyak melakukan kegiatan mata-mata cyber di bidang eksplorasi luar angkasa, teknologi nano, produksi energi, daya nuklir, laser, obat-obatan, dan komunikasi.

Metode Penginfeksian:

  • Para pelaku menginfeksi korban dengan mengirimkan email phishing cerdik berisi lampiran Microsoft Office berbahaya dengan dua kerentanan yang telah dieksploitasi besar-besaran yaitu CVE-2012-0158 dan  CVE-2010-3333. Meski Microsoft telah merilis patch untuk dua kerentanan ini, mereka masih digunakan secara luas dalam serangan tertarget dan terbukti efektif.

  • Judul lampiran berbahaya dalam email phishing menggambarkan persistensi group NetTraveler untuk mengkustom serangan mereka agar bisa menginfeksi target profil tinggi atau target penting mereka. Judul-judul dokumen berbahaya yang digunakan antara lain:

    • Army Cyber Security Policy 2013.doc (Kebijakan Keamanan Cyber Tentara 2013.doc)

    • Report – Asia Defense Spending Boom.doc (Laporan – Kenaikan Belanja Pertahanan Asia.doc)

    • Activity Details.doc (Detail Kegiatan.doc)

    • His Holiness the Dalai Lama’s visit to Switzerland day 4 (Kunjungan Yang Mulia Dalai Lama ke Swiss, Hari Ke-4)

    • Freedom of Speech. Doc (Kebebasan Berbicara.doc)




Pencurian Data & Eksfiltrasi:

  • Pada waktu menganalisis, tim pakar Kaspersky Lab mendapatkan log penginfeksian dari beberapa server command and control (C&C) NetTraveler. Server C&C digunakan untuk menginstal malware tambahan ke komputer yang telah terinfeksi dan mengeksfiltrasi data yang telah dicuri. Para pakar Kaspersky Lab memperkirakan data curian yang tersimpan di server C&C NetTraveler mencapai lebih dari 22 gigabyte.

  • Data yang dieksfiltrasi dari komputer yang terinfeksi biasanya meliputi file system listing, keylog, dan berbagai file termasuk PDF, excel sheet, dokumen word, dan file lainnya. Selain itu, toolkit NetTraveler mampu menginstal malware pencuri info lain (info-stealing malware) sebagai backdoor, dan bisa dikustomisasi untuk mencuri informasi sensitif lain seperti detail konfigurasi untuk sebuah aplikasi atau file CAD (computer-aided design).


 

Statistik Infeksi Global:

  • Berdasarkan analisis Kaspersky Lab terhadap data C&C NetTraveler, terdapat 350 korban di 40 negara di dunia termasuk Amerika Serikat, Kanada, Inggris, Rusia, Chile, Maroko, Yunani, Belgia, Austria, Ukraina, Lithuania, Belarus, Australia, Hong Kong, Jepang, China, Mongolia, Iran, Turki, India, Indonesia, Pakistan, Korea Selatan, Thailand, Qatar, Kazakhstan, dan Yordania.

  • Terkait dengan analisis data C&C, para pakar Kaspersky Lab menggunakan Kaspersky Security Network (KSN) untuk mengidentifikasi statistik penginfeksian tambahan. Sepuluh negara teratas yang dideteksi KSN sebagai korban NetTraveler adalah Mongolia, Rusia, India, Kazakhstan, Kyrgyzstan, China, Tajikistan, Korea Selatan, Spanyol, dan Jerman


sumber: Kaspersky Lab