Periset keamanan di ESET telah menemukan peluncuran malware baru yang menargetkan konsulat, kementerian dan kedutaan besar di seluruh dunia untuk memata-matai pemerintahan dan diplomat.
Aktif sejak 2016, peluncuran malware memanfaatkan sebuah backdoor. Dijuluki backdoor Gazer, dan diyakini dilakukan oleh kelompok hacking Turla yang sebelumnya terkait dengan intelijen Rusia.
Ditulis dalam C++, backdoor ini dikirim melalui email spear phishing dan membajak komputer yang ditargetkan dalam dua langkah. Pertama, malware tersebut menimpa Skipper backdoor, yang sebelumnya telah dihubungkan ke Turla dan kemudian memasang komponen Gazer.
Dalam peluncuran spionase cyber sebelumnya, kelompok hacking Turla menggunakan backdoor Carbon dan Kazuar sebagai malware tahap kedua, yang juga memiliki banyak kesamaan dengan Gazer, menurut laporan penelitian yang diterbitkan oleh ESET.
Loading...
Reload document
Open in new tab Backdoor menerima perintah terenkripsi dari server command-and-control dan menghindari deteksi dengan menggunakan situs web yang dikompromikan dan sah (yang kebanyakan menggunakan CMS WordPress) sebagai proxy.
Alih-alih menggunakan API Windows Crypto, Gazer menggunakan library enkripsi 3DES dan RSA yang unik untuk mengenkripsi data sebelum mengirimnya ke server C&C – taktik umum yang digunakan oleh kelompok Turla APT.
Gazer menggunakan teknik injeksi kode untuk mengendalikan mesin dan menyembunyikan dirinya untuk jangka waktu yang lama dalam usaha untuk mencuri informasi.
Backdoor ini juga memiliki kemampuan untuk meneruskan perintah yang diterima oleh satu titik akhir yang terinfeksi ke mesin lain yang terinfeksi pada jaringan yang sama.
Sejauh ini para peneliti ESET telah mengidentifikasi empat varian malware berbeda dari backdoor tersebut di alam bebas, yang kebanyakan memata-matai target politik Uni Eropa Tenggara dan bekas blok Soviet.
Menariknya, versi sebelumnya dari Gazer ditandatangani dengan sertifikat yang sah yang dikeluarkan oleh Comodo untuk “Solid Loop Ltd,” sementara versi terbaru ditandatangani dengan sertifikat SSL yang dikeluarkan untuk “Ultimate Computer Support Ltd.”
Menurut peneliti, Gazer telah berhasil menginfeksi sejumlah target di seluruh dunia, dengan korban terbanyak berada di Eropa.
Sementara itu, Kaspersky Labs juga telah menerbitkan detail yang hampir sama tentang backdoor ini, namun mereka menyebutnya kampanye APT ‘Whitebear’.
