Hari ini saya diminta mempelajari laporan DHS tentang operasi Grizzly Steppe. Laporan ini dikeluarkan oleh pemerintah Amerika Serikat tentang aktifitas cyber-intelejen Rusia. Beberapa aktifitas yang dilaporkan adalah spearphishing terhadap institusi pemerintahan, infrastruktur vital, kampus, organisasi politik, dan perusahaan di Amerika Serikat. Operasi ini diduga dilakukan oleh Russian intelligence services (RIS).
Spearphishing
Contoh aksi spearphishing yang dilakukan adalah dengan mengirimkan email ke target. Isi emailnya adalah meminta korban untuk mengganti password melalui sebuah website palsu. Username dan password ini kemudian digunakan untuk mencuri informasi. Setelah itu penyerang memasang malware dan menyebarkan diri di jaringan. Malware ini digunakan untuk mengumpulkan informasi. Aksi ini mulai dilakukan sejak tahun 2015, dan terdeteksi dilakukan hingga bulan November 2016 sebelum pemilu
Spearphishing sendiri adalah sebuah serangan dengan menggunakan email palsu, yang isinya meminta korban untuk membuka sebuah file, atau membuka sebuah alamat dll. Dengan cara ini penyerang bisa memasang malware pada komputer korban. Operasi ini sering disebut juga dengan serangan APT28 dan APT29.
Grizzly Steppe
Langkah awal yang digunakan penyerang untuk mengumpulkan informasi tentang target adalah dengan melakukan network vulnerability scanning, credential harvesting, dan “doppelganger” (“typo-squatting”). Aktifitas network scanning ini diduga mencari website yang memiliki celah keamanan cross-site scripting (XSS) dan Structured Query Language (SQL) injection.
Aktifitas lainnya yang ditemukan adalah wraping (membungkus) malware OnionDuke untuk menghindari deteksi Antivirus. Teknik lainnya yang ditemukan pada APT28 dan APT29 adalah:
- Menggunakan teknik serangan watering hole pada website dengan melakukan injeksi kode
- Menggunakan makro pada file Microsoft Office
- Menempelkan kode flash pada file RTF Malicious Rich Text Format
Penyebaran malware ini dilakukan melalui email dengan beberapa subjek sebagai berikut:
- efax, e-Fax, efax #100345 (angka random)
- PDF, PFD, Secure PDF
- Tema terkini seperti ( “European Parliament statement on…”)
- Informasi tentang Fake Microsoft Outlook Web Access (OWA) log-in emails
- Undangan menghadiri acara tertentu
Exploit
Penyerang ditemukan juga menginfeksi sejumlah software bajakan yang bisa diunduh pada berbagai layanan Torrent. Selain itu penyerang juga menggunakan beberapa TOR exit nodes sejak 2014. Ditemukan juga penyerang membobol beberapa website dan memasang malware pada web tersebut. Penyerang juga menggunakan exploit untuk memanfaatkan beberapa celah keamanan berikut ini:
- CVE-2016-7855: Adobe Flash Player Use-After-Free Vulnerability
- CVE-2016-7255: Microsoft Windows Elevation of Privilege Vulnerability
- CVE-2016-4117: Adobe Flash Player Remoted Attack Vulnerability
- CVE-2015-1641: Microsoft Office Memory Corruption Vulnerability
- CVE-2015-2424: Microsoft PowerPoint Memory Corruption Vulnerability
- CVE-2014-1761: Microsoft Office Denial of Service (Memory Corruption)
- CVE-2013-2729: Integer Overflow in Adobe Reader and Acrobat vulnerability
- CVE-2012-0158: ActiveX Corruption Vulnerability for Microsoft Office
- CVE-2010-3333: RTF Stack Buffer Overflow Vulnerability for Microsoft Office
- CVE-2009-3129: Microsoft Office Compatibility Pack for Remote Attacks
Beberapa malware yang ditemukan pada operasi ini adalah pada malware family Sofacy dan Onion Duke. Analis menemukan 17 file PHP, 3 file executables dan 1 file RTF. File PHP adalah web shell yang menyediakan user interface untuk menjalankan berbagai perintah secara remote. File RTF digunakan untuk menanam malware. Operasi ini juga menggunakan infrastruktur C&C untuk mengendalikan penyebaran malware.
Semoga Bermanfaat!
Informasi lebih lanjut:
https://www.us-cert.gov/security-publications/GRIZZLY-STEPPE-Russian-Malicious-Cyber-Activity