Jakarta – Para ahli Kaspersky Lab yang melakukan pengamatan terhadap aktivitas kelompok Winnti menemukan adanya ancaman aktif berbasis 2006 bookit installer.
Ancaman ini dinamakan ‘HDRoot’ oleh pihak Kaspersky karena menggunakan alat ‘HSS Rootkit’, yaitu sebuah platform universal yang digunakan sebagai tampilan berkelanjutan dan terus-menerus pada sistem yang menjadi target, sehingga dapat menjadi basis bagi alat lain yang memang diperlukan untuk melakukan serangan.
Kelompok Winnti dikenal lewat aksi spionase cyber dengan target perusahaan software terutama yang bergerak di bidang game. Hasil pengamatan baru-baru ini menemukan bahwa kelompok Winnti juga menargetkan perusahaan yang bergerak di bidang farmasi.
‘HDRoot’ ditemukan ketika sebuah sampel malware yang menarik mencuri perhatian dari Kaspersky Lab Global Research and Analysis Team (GReAT) dengan beberapa alasan.
Malware tersebut dilindungi dengan executable VMProtect Win64 komersil yang memiliki signature dari sertifikat digital yang diketahui mudah diretas milik perusahaan software China, Guangzhou YuanLuo Technology. Sertifikat ini diketahui oleh kelompok Winnti dapat disalahgunakan untuk memberikan signaturebagi alat-alat lain.
Kepemilikan dan output teks dari executable dipalsukan agar terlihat seperti Command Net net.exe milik Microsoft, jelas untuk mengurangi risiko sistem administrator mengekspos sebagai program berbahaya.
Secara bersamaan, hal ini membuat sampel terlihat cukup mencurigakan. Analisis lebih lanjut yang dilakukan menunjukkan bootkit HDRoot adalah sebuah platform universal untuk memberi tampilan berkelanjutan dan terus-menerus dalam suatu sistem. Dimana alat ini dapat digunakan untuk meluncurkan alat lainnya.
Para peneliti GReAT mampu mengidentifikasi dua jenis backdoor yang diluncurkan dengan bantuan platform ini, atau bahkan mungkin lebih. Salah satu backdoor ini bahkan mampu melewati produk antivirus terkenal di Korea Selatan seperti – V3 Lite milik AhnLab, V3 365 Clinic milik AhnLab dan ALYac milik ESTsoft. Oleh karena itu Winnti menggunakan backdoor tersebut untuk meluncurkan produk malware pada perangkat yang menjadi sasaran mereka di Korea Selatan.
Menurut data Kaspersky Security Network, Korea Selatan merupakan target utama dari kelompok Winnti di Asia Timur dan Tenggara, dengan target lainnya di wilayah ini mencakup perusahaan di Jepang, China, Bangladesh dan Indonesia.
Kaspersky Lab juga mendeteksi adanya infeksi HDRoot di sebuah perusahaan di Inggris dan Rusia, dimana kedua perusahaan tersebut memang sebelumnya telah ditargetkan oleh kelompok Winnti.
Menurut Dmitry Tarakanov, Senior Security Researcher di tim GReAT Kaspersky Lab, tujuan utama dari setiap kelompok APT adalah untuk tetap berada di bawah radar dan tidak dikenali. Itulah sebabnya kita jarang melihat kode enkripsi yang rumit, karena hal itu akan menarik perhatian.
“Kelompok Winnti berani mengambil risiko karena mereka belajar dari pengalaman sebelumnya tanda-tanda mana saja yang harus ditutupi dan bagian mana saja yang mungkin diabaikan karena perusahaan tidak selalu menerapkan semua kebijakan keamanan yang terbaik setiap waktu. Sistem administrator harus selalu mengetahui segala sesuatunya, dan jika tim yang ada kecil, maka kemungkinan aktivitas kriminal cyberuntuk tetap tidak terdeteksi bahkan akan lebih tinggi,” jelasnya dalam keterangant tertulis, Senin (19/10/2015).
Pengembangan HDD Rootkit bisa jadi merupakan karya seseorang yang bergabung dengan kelompok Winnti ketika didirikan. Kaspersky Lab percaya bahwa kelompok Winnti terbentuk pada tahun 2009, dan bukan pada tahun 2006. Namun ada kemungkinan bahwa Winnti mempergunakan perangkat lunak pihak ketiga.
Bisa jadi kegunaan dan sumber kode cuma tersedia di China atau pasar gelap bagi penjahat cyber. Ancaman ini tentunya masih bersifat aktif. Sejak Kaspersky Lab mulai menambahkan deteksi, aktor di balik serangan ini mulai beradaptasi – dalam kurun waktu kurang dari satu bulan, sebuah modifikasi baru telah teridentifikasi.