Selama ini dunia cyber security selalu was-was dengan sepak terjang grup cyber espionage asal Rusia seperti FancyBear (atau dikenal juga sebagai APT28) dan CozyDuke (APT29). Akan tetapi, Kaspersky mengingatkan ada satu grup lagi yang tidak bisa dianggap enteng, yaitu Turla. Meski tidak terlalu terkenal, Turla sebenarnya adalah tim elit yang telah menyerang berbagai negara di dunia.
Hal tersebut dikemukakan Kurt Baumgartner, peneliti dari Kaspersky dalam acara Virus Bulletin 2018 yang berlangsung di Montreal, Kanada, minggu lalu. “Turla adalah organisasi yang berkemampuan tinggi, memiliki banyak sumber daya, dan telah beraksi sejak lama” ungkap Kurt. Bahkan banyak indikasi yang menunjukkan Turla merupakan “titisan” Moonlight Gaze, tim bentukan pemerintah Rusia yang telah melakukan cyber attack sejak era 1990an.
Dalam laporan terbarunya, Kaspersky menggambarkan serangan yang dilakukan Turla dalam tiga tahun terakhir. Tercatat ada 24 negara telah diserang, dengan sasaran utama organisasi pemerintahan.
Inilah negara yang diserang Turla dalam tiga tahun terakhir
Ada pun “senjata” malware yang digunakan Turla terbilang beragam, mulai dari Mosquito, New Carbon, IcedCoffee, KopiLuwak, WhiteAtlas, sampai WhiteBear.
Mosquito dan New Carbon memiliki sasaran utama menyerang aparat diplomatik dan kementerian luar negeri. Sedangkan IcedCoffee dan KopiLuwak adalah Javascript backdoor yang berfungsi sebagai agent yang membuka jalan masuknya malware ke komputer korban.
Khusus untuk KopiLuwak, ada satu fenomena menarik. Saat digunakan “menyerang” Afghanistan, malware ini lebih banyak menyasar institusi penelitian dan pertambangan. Hal ini menunjukkan, KopiLuwak kini tidak lagi cuma menyasar institusi pemerintahan, namun juga industri lain. “Serangan ke target yang tetap selektif namun di luar institusi pemerintahan ini sepertinya akan terus berlanjut di tahun 2019 nanti” ungkap tim peneliti Kaspersky.
Fenomena menarik lainnya adalah Turla kini mulai menggunakan kode serangan berbasis open-source. Padahal, biasanya mereka membangun sendiri tools rumit dengan memanfaatkan lubang keamanan yang tidak banyak diketahui orang. “Sepertinya ada sesuatu yang berubah dari grup ini” ungkap tim peneliti, meski sulit untuk menyimpulkan apa yang sebenarnya terjadi pada Turla.
Satu yang pasti, Turla selalu menyerang sasaran yang serius dengan cara yanga canggih. Salah satu contohnya adalah serangan ke kementerian luar negeri Jerman di tahun 2017. Serangan tersebut memanfaatkan Messaging Application Programming Interface (MAPI) dari Microsoft Office. Berbeda dengan malware umumnya yang mengandalkan komunikasi ke Command-and-Control (C&C), serangan ini bisa diatur hanya dengan menggunakan email.
Caranya dengan melampirkan sebuah file PDF yang telah dirancang khusus ke sebuah email. Dari file PDF ini, tim Turla bisa mengirimkan perintah ke malware korban tanpa harus menjalin komunikasi dengan C&C Server. Tak heran jika malware Turla ini sangat sulit dideteksi aplikasi security.
| Penulis | : | Wisnu Nugroho |
| Editor | : | Wisnu Nugroho |
KOMENTAR