Sunday, 28 July 2013

VIRUS ROCRA CANGGIH SETARA FLAME YANG DIRANCANG RUSSIA & DIKEMBANGKAN CHINA

Siklus Distribusi Data Virus kepada Mastermain
virus yang bernama "Red October" atau disingkat "Rocra" adalah piranti lunak berbahaya (malware) yang mampu mencuri informasi dari target dan secara aktif mengirimkannya ke beberapa server command and control. Server ini merupakan pusat data yang dapat mengatur komputer yang menjalankan malware. Rocra ditemukan pada bulan Oktober 2012 dan terbongkar pada Januari 2013 oleh perusahaan Kaspersky Lab - Rusia.  Malware itu dilaporkan beroperasi di seluruh dunia selama lima tahun sebelum ditemukan.

Red October merupakan cyberespionage canggih yang dibuat untuk memata-matai badan diplomatik, pemerintahan dan badan riset pengetahuan,  grup energi dan nuklir, serta perdagangan dan luar angkasa di negara-negara di Eropa Timur, bekas negara Republik USSR (Uni Soviet) dan negara-negara di Asia Tengah. Namun tak ada  negara yang aman darinya, termasuk Eropa Barat dan Amerika Utara, termasuk Swiss dan Luxemburg.

Kaspersky mengatakan, bentuk Rocra mirip dengan malware Flame yang menyerang jaringan komputer Iran tahun lalu. "Ini adalah kerjaan profesional kampanye spionase siber selama beberapa tahun," kata Kurt Baumgartner, peneliti keamanan senior di Kaspersky Labs.

Setelah Virus ini terbongkar, beberapa perusahaan hosting menutup sebanyak 60 domain yang digunakan oleh pencipta virus tersebut yang digunakan untuk mengumpulan informasi. Rocra ini beroperasi dengan menggunakan eksploitasi di Microsoft Word dan Excel bukan hanya itu Informasi yang dicuri dari sistem yang terinfeksi termasuk dokumen-dokumen dengan ekstension: txt, csv, eml, doc, vsd, sxw, odt, docx, rtf, pdf, mdb, xls, wab, rst, xps, iau,  cif, key, crt, cer, hse, pgp, gpg, xia, xiu, xis, xio, xig, acidcsa, acidsca, aciddsk, acidpvr, acidppr, dan acidssa. Khusus untuk “acid”, ekstension tersebut kemungkinan merujuk ke software rahasia “Acid Cryptofiler”, yang digunakan oleh beberapa entitas mulai dari Uni Eropa hingga NATO. 

Mengeksploitasi mampu mencuri jumlah mengejutkan dari informasi. Hal ini dapat mengambil data dari kedua PC dan smartphone yang terhubung ke PC. Hal ini dapat mengambil file dari drive removable. Itu termasuk data yang telah dihapus. Hal ini dapat menyalin seluruh pesan e-mail dan lampirannya. Malware ini juga dapat bertindak sebagai logger kunci pada mesin yang terinfeksi. Malware dapat menyimpan riwayat browsing dari banyak browser seperti Opera, Internet Explorer, Khrom, dan Firefox. Hal ini bahkan mampu mengambil screenshot.

Karakteristik Red October :

  • Modul “Resurrection”: Modul yang memungkinkan para penyerang untuk “resurrect” atau menghidupkan lagi komputer yang telah terinfeksi. Modul ini ditanamkan sebagai plug-in di dalam Adobe Reader dan instalasi Microsoft Office dan memberi jalan aman bagi para penyerang untuk mengakses sistem yang ditarget jika body malware utama ditemukan dan dihapus, atau jika sistem ditambal (patch). Begitu C2 beroperasi lagi para penyerang mengirim file dokumen khusus (PDF atau dokumen Office) ke komputer korban melalui email yang akan kembali mengaktifkan malware tersebut.
  • Modul mata-mata kriptografis tingkat tinggi: Tujuan utama modul mata-mata ini adalah mencuri informasi. Ini termasuk file dari berbagai sistem kriptografis, misalnya Acid Cryptofiler, yang digunakan oleh organisasi-organisasi seperti NATO, Uni Eropa, Parlemen Eropa dan Komisi Eropa sejak musim panas (Juni – September) 2011 untuk melindungi informasi sensitif.
  • Perangkat Bergerak (Mobile): Selain menargetkan ruang kerja (PC), malware ini juga mampu mencuri data dari perangkat bergerak seperti smartphone (iPhone, Nokia dan Windows Mobile). Malware ini juga mampu mencuri informasi konfigurasi dari peralatan jaringan enterprise seperti router dan switch, juga file yang telah dihapus dari disk drive (USB drive).

Identifikasi penyerang: Berdasarkan data registrasi server C2 dan beberapa jejak executable malware ini, ada bukti teknis kuat yang mengindikasikan bahwa para penyerang berasal dari negara berbahasa Rusia. Selain itu, executable yang digunakan oleh para penyerang sampai saat ini belum diketahui, dan tidak dikenal oleh para pakar Kaspersky Lab saat menganalisis serangan-serangan mata-mata cyber sebelumnya.http://www.momosergeidragunov.com/

Rocra lebih canggih dan tersembunyi dibandingkan malware Flame yang menyerang jaringan komputer Iran tahun lalu, Kaspersky mensinyalir virus ini diciptakan oleh peretas China dan modul malware dibuat dalam bahasa Rusia. "Kami tidak mengatakan mereka adalah hacker Rusia, tetapi para pengembang berasal dari negara berbahasa Rusia”. namun malware “Rocra”, yang diklasifikasikan sebagai Backdoor.Win32.Sputnik, berhasil dideteksi, diblokir dan diremediasi oleh produk-produk Kaspersky Lab.

Untuk mencegah serangan virus ini, khususnya bagi para teknisi kantor-kantor pemerintah, Kaspersky Labs memberikan beberapa tips, antara lain :

  • Block traffic dari beberapa domain : arabooks.ch, artas.org, tsoftonline.com, eamtm.com, dan news.grouptumbler.com
  • Block traffic dari IP: 200.63.46.23, 194.38.160.153, 95.128.72.24, 72.34.47.186, 188.40.99.143, 85.95.236.114
Created by
|||0|||0