Lokman Adam Ditahan, Pejuang Mahu Teliti Belanjawan | EDISI MG 2ptg - 2 November 2020
Penyelidik keselamatan telah mengenal pasti kempen siber-pengintipan yang telah berkompromi dengan 59 komputer milik organisasi kerajaan, institut penyelidikan, think tank dan syarikat swasta dari 23 negara di Kempen serangan itu ditemui dan dianalisa oleh penyelidik dari firma keselamatan Kaspersky Lab dan Makmal Kriptografi dan Sistem Keselamatan (CrySyS) dari Universiti Teknologi dan Budapest Budapest.
Dubes MiniDuke, kempen serangan menggunakan mesej e-mel yang disasarkan - teknik yang dikenali sebagai phishing lembaran - yang membawa fail PDF berniat jahat yang dicampur dengan recen eksploit yang dipatenkan untuk Adobe Reader 9, 10 dan 11.
[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]
Eksploitasi pada asalnya ditemui dalam serangan aktif awal bulan ini oleh penyelidik keselamatan dari FireEye dan mampu daripada memintas perlindungan kotak pasir di Adobe Reader 10 dan 11. Adobe mengeluarkan patch keselamatan untuk kelemahan yang disasarkan oleh eksploit pada 20 Februari.Serangan MiniDuke baru menggunakan eksploit yang sama yang dikenal pasti oleh FireEye, tetapi dengan beberapa modifikasi lanjut, kata Costin Raiu, pengarah pasukan penyelidikan dan analisis global Kaspersky Lab, pada hari Rabu. Ini boleh mencadangkan bahawa penyerang mempunyai akses kepada toolkit yang digunakan untuk mencipta eksploit asal.
Fail PDF yang berniat jahat adalah salinan penyalahgunaan laporan dengan kandungan yang berkaitan dengan organisasi yang disasarkan dan memasukkan laporan mengenai Mesyuarat Asia-Eropah yang tidak rasmi Seminar mengenai hak asasi manusia (ASEM), laporan tentang pelan tindakan keanggotaan NATO Ukraine, laporan mengenai dasar luar negeri serantau Ukraine dan laporan mengenai Persatuan Ekonomi Armenia 2013 dan banyak lagi.
Jika eksploit berjaya, memasang sekeping malware yang disulitkan dengan maklumat yang dikumpulkan dari sistem yang terjejas. Teknik penyulitan ini juga digunakan dalam malware cyber-espionage malware dan menghalang malware daripada dianalisis pada sistem yang berbeza, kata Raiu. Jika dijalankan pada komputer yang berbeza, malware itu akan dilaksanakan, tetapi tidak akan memulakan fungsi yang berniat jahat, katanya.
Satu lagi aspek menarik dari ancaman ini ialah hanya 20KB dan ditulis dalam Assembler, satu kaedah yang jarang digunakan hari ini oleh pencipta malware. Saiznya yang kecil juga luar biasa berbanding saiz malware moden, kata Raiu. Ini menunjukkan bahawa pengaturcara adalah "sekolah lama", katanya.
Sekeping malware yang dipasang semasa peringkat pertama serangan ini menyambung ke akaun Twitter tertentu yang mengandungi perintah yang disulitkan yang menunjuk ke empat laman web yang bertindak sebagai command-and- pelayan kawalan. Laman web ini, yang dihoskan di Amerika Syarikat, Jerman, Perancis dan Switzerland, meng-host fail GIF yang disulitkan yang mengandungi program backdoor kedua.
Backdoor kedua ialah kemas kini yang pertama dan menghubungkan kembali ke pelayan arahan dan kawalan untuk memuat turun lagi program backdoor yang unik direka untuk setiap mangsa. Sehingga Rabu, pelayan arahan dan kawalan telah menganjurkan lima program backdoor yang berbeza untuk lima mangsa unik di Portugal, Ukraine, Jerman dan Belgium, kata Raiu. Program backdoor unik ini menyambung ke pelayan arahan dan kawalan yang berbeza di Panama atau Turki, dan mereka membenarkan penyerang untuk melaksanakan arahan pada sistem yang dijangkiti.
Orang-orang di belakang kempen pengintip siber MiniDuke telah beroperasi sejak sekurang-kurangnya April 2012, ketika salah satu akaun Twitter khas pertama kali dibuat, kata Raiu. Walau bagaimanapun, mungkin aktiviti mereka lebih halus sehingga baru-baru ini, apabila mereka memutuskan untuk mengambil kesempatan daripada eksploitasi Adobe Reader baru untuk berkompromi seberapa banyak organisasi sebelum kerentanan dapat ditambal, katanya
Malware yang digunakan dalam serangan baru adalah unik dan belum pernah dilihat sebelum ini, jadi kumpulan itu mungkin telah menggunakan malware yang berbeza pada masa lalu, kata Raiu.
