Insiden CCleaner Mengungkap Kemungkinan Serangan Tahap Ketiga

14

Menyusul insiden yang terjadi pada CCleaner tahun lalu, Threat Intelligence Team Avast, terus menyelidiki apa yang terjadi dan perkembangan terkini atas penyelidikannya telah kami bagikan kepada publik pada Security Analyst Summit. Secara ringkas, pada 18 September 2017, kami mengungkapkan bahwa CCleanertengah menjadi sasaran penjahat siber untuk mendistribusikan malware melalui file instalan. File instalan yang mereka modifikasi telah diunduh 2.27 juta pelanggan CCleanerdi seluruh dunia. Sementara itu, malware-nya berhasil meyusup ke dalam build server Piriform, perusahaan yang mengembangkan Ccleaner, antara 11 Maret dan 4 Juli 2017, atau sebelum perusahaan diakuisisi Avast pada 18 Juli 2017.

Malware tahap pertama diprogram untuk mengumpulkan informasi yang tidak sensitif dari pengguna Ccleaner, seperti nama komputer, perangkat lunak yang ada di dalam dan daftar proses yang berjalan. Pada tahap ini, malware berhasil mengunduh bilangan biner atau program untuk serangan tahap kedua ke dalam 40 PC, dari berjuta-juta yang terinfeksi malware tahap pertama. Fakta ini menunjukkan bahwa tahap pertama merupakan serangan yang sangat tertarget. Sampai sekarang, kami belum menemukan adanya bilangan biner untuk serangan tahap ketiga. Namun, ada bukti aktivitas yang mengindikasikan akan ada serangan teresebut berserta kemungkinan bentukserangannya.

Untuk melenyapkan ancaman yang beroperasi dari jaringan Piriform, kami melakukan migrasi terhadap jaringan tersebut ke infrastruktur Avast, mengganti semua perangkat keras dan memindahkan semua staf Piroform ke sistem teknologi informasi (TI) internal Avast. Sementara itu, kami mengkonsolidasikan dan memeriksa infrastruktur dan komputer-komputer Piriform, dan menemukan program versi pertama dari malware tahap pertama dan kedua. Kami pun menemukan alat (tool) berspesialisasi bernama ShadowPad yang disusupkan oleh kelompok penjahat siber tertentu ke dalam empat komputer milik Piriform.

ShadowPad adalah sebuah platform serangan yang disusupkan penjahat siber ke dalam jaringan komputer korban untuk mendapatkan kemampuan kontrol jarak jauh danplatform semacam ini telah dianalisa di masa lalu. ShadowPad terinstal di empat komputer Piriform pada 12 April 2017 yang  dilanjutkan pemasangan tahap kedua pada 12 Maret 2017.

Versi lama dari malware tahap kedua terkoneksi ke server CnC. Namun, server sudah tidak berfungsi saat kami memeriksa komputer-komputernya, sehingga keyakinan 100% tentang apa yang telah diunduh tidak bisa diperoleh. Namun, melihat waktu kejadiannya, kami beransumsi bawa ia berfungsi menginstal ShadowPad pada keempat komputer tersebut. Petunjuk lain  yang membawa kami pada asumsi bahwa ShadowPad dibuat kelompok peretas China, Axiom, sehingga ada kemungkinan besar bahwa merekamerupakan kelompok di balik serangan terhadap CCleaner. Hubungan antara Aksioma dan serangan terhadap CCleaner pertama kali ditemukan oleh peneliti keamanan Constin Raiu.

ShadowPad.png

Plugin ShadowPad ditemukan di PC milik Piriform

 Kami juga menemukan file log ShadowPad yang berisi keystroke (tekanan tombol) terenkripsi dari keylogger yang terpasang di komputer. Kami menemukan bahwa logkeylogger dienkripsi dengan ID volume dari hard drive, sehingga ShadowPad dapat mendekripsi setiap tombol keyboard yang ditekan. Keylogger ini telah aktif sejak 12 April 2017, merekam setiap tombol yang ditekan pada komputer, termasuk keylogs dari Visual Studio dan program lainnya. Data log menunjukkan bahwa keylogger masih aktif saat penelitian dilakukan dan versi ShadowPad ini dibuat custom-built, sehingga kami yakin bahwa ia sengaja diprogram khusus untuk komputer-komputer di Piriform.

logged_keystrokes.png

Logged keystrokes ditemukan di komputer Piriform

Dengan ShadowPad, penjahat siber bisa mendapatkan kendali penuh terhadap sistem dari jarak jauh sambil mengumpulkan kredensial dan pengetahuan tentang operasi pada komputer yang ditarget. Selain keylogger, ditemukan alat-alat (tools) lain pada keempat komputer tersebut, diantaranya pencuri password dan alat yang berfungsi menginstal perangkat lunak dan plugin lain.

ShadowPad terpasang di jaringan Piriform dan, sejauh yang bisa kami tahu berdasarkan investigasi yang kami lakukan sampai hari ini, ia tidak dipasang di komputer pelanggan CCleaner mana pun, namun kami yakin bahwa tahap ketiga ditujukan untuk pelanggan CCleaner. Ccleaner telah diunduh 2.27 juga pelanggan pribadi dan korporasi, namun penyerang hanya memasang program tahap kedua pada 40 PC yang dioperasikan perusahaan teknologi dan telekomunikasi. Kami tidak menemukan sampel yang menunjukkan kemungkinan dibuatnya program tahap ketiga, dan tidak jelas apakah penyerang berniat untuk menyerang kesemua 40 PC atau hanya sebagian, atau sama sekali tidak bermaksud menyerang komputer-komputer tersebut. Kami masih menyelidiki data yang kami ambil dari komputer-komputer tersebut, dan akan mengumumkan hasilnya segera setalah kami belajar lebih banyak.


TAG


Leave a Reply

Your email address will not be published.