Direct Release: Kelemahan Hacking Team Dimanfaatkan Hacker Darkhotel Untuk Kembali Beraksi
Setelah pembocoran luas dari berkas-berkas milik Hacking Team – perusahaan yang dikenal sebagai penjual “spyware resmi” untuk beberapa badan pemerintah dan lembaga penegak hukum – sejumlah grup spionase cyber mulai menggunakan alat-alat yang disediakan oleh Hacking Team untuk pelanggannya, untuk tindak kejahatan mereka sendiri. Salah satunya adalah sejumlah exploit yang menargetkan Adobe Flash Player dan Windows OS. Setidaknya satu di antaranya telah diprogram ulang oleh pemain kuat dalam bidang spionase cyber, “Darkhotel”.
Kaspersky Lab menemukan bahwa “Darkhotel”, grup spionase elit yang ditemukan oleh para ahli Kaspersky Lab di tahun 2014 dan terkenal karenaaksi infiltrasi jaringan Wi-Fi di hotel-hotel mewah untuk meretas para eksekutif perusahaan tertentu, telah menggunakan zero-day vulnerability milikHacking Team sejak awal Juli, segera setelah pembocoran luas dari berkas milik Hacking Team pada 5 Juli. Grup spionase ini bukan merupakan klien dari Hacking Team, namun tampaknya para aktor dibalik Darkhotel berhasil mengambil berkas milik Hacking Team setelah berkas tersebut tersedia untuk umum.
Aksi ini bukanlah satu-satunya serangan zero-day dari Darkhotel. Kaspersky Lab memperkirakan, beberapa tahun belakangan Darkhotelkemungkinan telah meluncurkan serangan zero-day yang menargetkan Adobe Flash Player, dan tampaknya mereka mengeluarkan uang yang tidak sedikit untuk melengkapi gudang persenjataannya. Di tahun 2015, Darkhotel memperluas jangkauan geografisnya ke seluruh dunia, sambil terus menggunakan metode spear phishing ke target-targetnya di Korea Utara dan Selatan, Rusia, Jepang, Bangladesh, Thailand, India, Mozambik, dan Jerman.
Bantuan Tambahan dari Hacking Team
Peneliti keamanan di Kasperky Lab mencatat beberapa teknik dan aktivitas baru dari Darkhotel, pelaku advanced persistent threat (APT) yang aktif selama hampir delapan tahun. Pada serangan-serangan di tahun 2014 dan sebelumnya, grup spionase tersebut menyalahgunakan sertifikat digital dengan signature yang sah hasil curian dan menggunakan metode tidak biasa seperti meretas Wi-Fi hotel untuk menempatkan alat mata-mata pada sistem yang ditargetkan. Di tahun 2015, banyak teknik dan aktivitas ini yang tetap dipergunakan, tetapi Kaspersky Lab menemukan varian baru dari berkas executable jahat, penggunaan berkelanjutan dari sertifikat curian, penipuan keji dengan teknik social-engineering, dan penggunaan zero-day vulnerability Hacking Team:
- Penggunaan berkelanjutan dari sertifikat curian. Darkhotel grup tampaknya menyimpan setumpuk sertifikat curian dan menyebarkannya bersamaan dengan downloader serta backdoor untuk mengecoh sistem yang menjadi target mereka. Beberapa sertifikat yang baru-baru ini dicabut seperti Xuchang Hongguang Technology Co.Ltd, perusahaan yang sertifikatnya pernah digunakan oleh Darkhotel dalam serangan sebelumnya.
- Spearphishing tanpa ampun. APT Darkhotel memang gigih. APT ini mencoba untuk spearphish target, dan apabila tidak berhasil, akan kembali lagi beberapa bulan kemudian dengan skema social-engineering yang sama.
- Penggunaan exploit zero-day dari Hacking Team. Tisone360.com, situs yang diretas mengandung beberapa set ‘pintu belakang’ danexploit. Yang paling menarik di antaranya adalah zero-day vulnerability Flash dari Hacking Team.
“Darkhotel telah kembali, lagi-lagi dengan exploit Adobe Flash Player dan bercokol pada situs yang berhasil diretas, kali ini tampaknya didorong oleh bocornya berkas Hacking Team. Kelompok ini sebelumnya telah mengirimkan exploit Flash yang berbeda ke situs yang sama, yang kami laporkan sebagai zero-day Adobe pada Januari 2014. Darkhotel tampaknya telah menghanguskan tumpukan zero-day dan half-day exploit Flash beberapa tahun belakangan, dan ada kemungkinan telah menumpuk lebih banyak lagi untuk meluncurkan serangan yang lebih fokus ke individu kalangan atas secara global. Dari serangan sebelumnya, kita dapat mengetahui bahwa Darkhotel memata-matai CEO, senior vice president, direktur penjualan dan marketing, dan staf R&D dari perusahaan ternama,” ujar Kurt Baumgartner, Principal Security Researcher di Kaspersky Lab.
Sejak tahun lalu, tim mereka telah bekerja keras untuk memperkuat teknik pertahanan mereka, misalnya dengan memperluas daftar teknologi anti-detection mereka. Versi 2015 dari downloader Darkhotel memang dirancang untuk mengidentifikasi teknologi antivirus dari 27 vendor, dengan tujuan untuk mengelak dari mereka.
Produk Kaspersky Lab berhasil mendeteksi dan memblokir modul baru dari Darkhotel sebagai Trojan.Win32.Darkhotel dan Trojan-Dropper.Win32.Dapato.
Untuk mempelajari lebih lanjut, silakan baca posting blog yang tersedia di Securelist.com.
Panduan umum tentang mitigasi APT tersedia dalam artikel “How to mitigate 85% of all targeted attacks using 4 simple strategies”.