Catch me if you can

17 Februari 2015
Catch Me if You Can
Carbanak is Anunak
Internet terbukti memberikan banyak kemudahan termasuk memudahkan transaksi finansial. Namun hal ini juga berlaku bagi kejahatan perbankan. Sebelum internet populer, kejahatan perbankan yang mengakibatkan kerugian sebesar US $ 4 juta “saja” oleh Frank Abagnale Jr termasuk kategori menggemparkan dan membuat penegak hukum di 12 negara bergerak mengejarnya dan menginsipirasi film "Catch Me If You Can". Pada era internet ini, penegak hukum kesulitan untuk meringkus pelaku kejahatan perbankan yang mengakibatkan kerugian US $ 25 juta (menurut laporan Fox IT dan Group IB) bagi dunia perbankan dan sampai hari ini masih terus menjalankan aksinya. Adalah Anunak atau yang belakangan ini sering disebut dengan nama Carbanak, malware yang digunakan oleh kelompok kriminal terorganisir untuk melakukan aksinya pada industri keuangan. Disebut Anunak karena nama itu yang diberikan oleh pembuat malware ini, sedangkan nama Carbanak diambil dari Carberp dan Anunak. Adapun Carberp sendiri adalah salah satu malware yang menyerang sistem perbankan yang beberapa pentolannya sudah tertangkap di Rusia. Namun rupanya anggota pembuat Carberp yang lain masih berkeliaran dan sejak tahun 2013 memfokuskan diri pada sistem perbankan dan pembayaran elektronik di Rusia. Namun berbeda dengan malware internet banking yang kebanyakan menyerang pengguna (nasabah) internet banking karena secara logis disanalah titik terlemah pengamanan internet banking dan sangat susah diamankan dengan baik. Ibarat kata Sun Tzu, seranglah tempat  dimana musuhmu tidak akan menduga sama sekali. Alih-alih menyerang nasabah pengguna internet banking, Anunak dengan beraninya menyerang bank dan penyedia sistem pembayaran. Padahal kita semua ketahui bahwa penyedia jasa pembayaran dan internet banking tentunya sudah bersiap-siap dengan seperti perlindungan berlapis dan jaringan intranet yang tertutup yang di dukung dengan  menyediakan sumber daya dan dana yang cukup besar karena kalau berhasil dibobol kerugian baik materi dan nama baik yang mereka alami akan sangat besar.
Tentunya amunisi (sumber daya, jaringan dan dana) yang diperlukan sangat besar karena Anunak langsung berhadapan dengan pengamanan sistem finansial yang dipertahankan oleh organisasi bisnis yang di dukung oleh sumber daya dan dana yang juga besar. Namun terbukti serangan Anunak di Rusia ini berhasil dan lebih dari 50 bank di Rusia dan 5 sistem pembayaran berhasil dibobol dengan kerugian yang terkonfirmasi (bukan perkiraan) sebesar US $ 25 juta atau lebih dari 250 milyar rupiah dan mayoritas tercuri pada pertengahan 2014. Waktu rata-rata dari saat penetrasi sampai uang berhasil dicuri sekitar 42 hari. Hal ini mengakibatkan 2 institusi keuangan dicabut izinnya. Karena berhasil menembus jaringan internal perbankan, penyerang berhasil masuk ke dalam sistem ATM dan menggunakan malware untuk membantu pencurian uang dari mesin ATM. Berbeda dengan pencuri Indonesia yang kalau mencuri uang dari ATM terkadang menggotong mesin ATM ke dalam mobil dan membobol brankas ATM secara fisik dengan linggis dan gergaji lalu meninggalkannya di sawah, pencurian uang yang dilakukan Anunak ini sama sekali tidak merusak fisik ATM, umumnya dilakukan dengan mengeluarkan uang lebih besar dari yang seharusnya dan ibarat dalam film Hollywood bahkan dalam beberapa kasus ATM secara sukarela dibuat mengeluarkan semua uang yang ada di dispenser uangnya. Bagaimana hal ini bisa terjadi dan apakah ancaman ini cukup nyata dan bisa terjadi di Indonesia ? Silahkan ikuti artikel ini.

Menggunakan Remote Admin
Ibarat pistol, teknologi adalah alat bantu dan bisa digunakan untuk keperluan positif dan negatif. Di tangan penegak hukum pistol digunakan untuk menjaga keamanan dan sebaliknya di tangan kriminal pistol digunakan untuk kepentingan jahat seperti merampok dan menodong. Demikian pula dengan teknologi, salah satunya Remote Admin. Salah satu remote admin yang paling populer dan sering digunakan oleh bagian support adalah Team Viewer dan tools ini sangat berguna karena tidak seperti remote admin konvensional yang bisa di deteksi dan di blokir oleh Firewall standar dan untuk aktivasi harus membuka port tertentu, Team Viewer tidak membutuhkan pembukaan port dan sekalipun jaringan intranet terlindungi dengan Firewall, asalkan kedua komputer sama-sama menggunakan aplikasi Team Viewer dan terhubung ke server Team Viewer sudah cukup untuk melakukan remote admin. Selain Team Viewer, tools remote yang diandalkan oleh Anunak adalah RDPdoor dan Ammy Admin. Selain remote admin, biasanya, aktivitas ini melibatkan banyak tools lain seperti :
  • Mimikatz, pencuri password baik dari akun lokal dan domain.
  • MBR Eraser untuk menembus dan menguasai ssitem operasi.
  • SoftPerfect sebagai LAN Scanner.
  • Cain & Abel untuk mendapatkan password.
  • SSHD backdoor untuk mendapatkan akses remote dan katak unci.
Metode Penyebaran
Guna menembus pertahanan firewall dan masuk ke dalam sistem internal perbankan, malware perlu memiliki akses ke dalam sistem intranet perbankan. Teknik yang digunakan adalah melalui pengiriman email terarah ke komputer karyawan perbankan yang di incar atau dan infeksi melalui jaringan botnet lain yang sudah tertanam di banyak komputer di dunia seperti Zeus botnet dan Shiz Ranbyus. Pengiriman email terarah ke sasaran kunci seperti manajer bank biasanya menggunakan lampiran yang kelihatannya tidak berbahaya seperti dokumen MS Word. Namun file MS word ini sangat berbahaya karena di dalamnya terkandung eksploitasi celah keamanan dan bagi sistem operasi yang belum di tambal bisa mengakibatkan instalasi file trojan. Karena itu Patch Management yang baik adalah mutlak dilakukan jika ingin terhindar dari serangan yang mengeksploitasi celah keamanan. Email yang dikirimkan juga sudah dirancang sedemikian rupa dan mengandung rekayasa sosial yang kemungkinan besar akan membuat penerimanya membuka lampiran yang dikirimkan. Beberapa contoh yang terjadi adalah email seakan-akan dikirimkan dari institusi perbankan lain dan dalam beberapa kasus bahkan dikirimkan oleh regulator / bank sentral sehingga kemungkinan besar akan dibuka oleh manajer bank yang menerima email palsu ini.

Serangan ke mesin ATM
Sekali berhasil melakukan akses ke jaringan intranet institusi keuangan tentunya merupakan bencana besar bagi institusi tersebut. Sebaliknya bagi kriminal merupakan kesempatan besar. Salah satu yang menjadi incaran tentunya adalah sistem mesin ATM. Dalam serangan ini yang menjadi korban adalah sistem Winc*r Nixd**f yang dalam kasus di Rusia karena dalam satu mesin ATM memiliki beberapa kaset uang dengan nominal yang berbeda. (Catatan : Ilistrasi ini diberikan dalam mata uang rupiah dan kasus ini juga relatif sulit terjadi di Indonesia karena ATM di Indonesia pada umumnya berisi uang dengan nominal yang sama). Sebagai contoh kaset pertama berisi uang Rp. 10.000,-,  kaset kedua Rp. 50.000,- dan kaset ke tiga Rp. 100.000,-. Jika anda menarik uang Rp. 40.000,- tentunya akan mendapatkan 4 lembar Rp. 10.000,-. Dalam kasus ini, registri  OS ATM dirubah oleh malware dan kaset 1 dan 3 ditukar identitasnya sehingga jika anda menarik uang Rp. 40.000,- yang akan keluar adalah 4 lembar uang Rp. 100.000,- atau Rp. 400.000,- atau 10 kali lipat dari uang yang di debetkan ke rekening anda Rp. 40.000,-. Pada beberapa kasus, ibarat film Hollywood bahkan ATM diperintahkan untuk mengeluarkan semua uang dalam dispenser uang uang saat penarikan dilakukan dengan memanipulasi file “KDIAG32” yang berfungsi mengadministrasi sistem ATM.

Bagaimana tingkat ancaman ini di Indonesia dan bagaimana antisipasinya ?
Menurut paparan dari Fox-IT dan Group-IB yang melakukan melakukan riset dan melaporkan Anunak sejak bulan Desember 2014, insiden ini terjadi di Rusia karena kesadaran pengamanan perbankan dan penegakan hukum yang memungkinkan hal ini terjadi dan pelakunya sampai saat ini sulit tersentuh hukum menyuburkan praktek ini. Kemungkinan hal ini terjadi di negara dengan penegakan hukum yang kuat cukup sulit dan dalam waktu singkat kriminal akan dapat di identifikasi dan di tangkap. Namun di Indonesia hal ini cukup mengkhawatirkan khususnya jika penegakan hukum yang lemah atas tindak kejahatan perbankan / finansial yang akan menyuburkan praktek ini. Hal ini bisa terlihat dari maraknya penipuan toko online abal-abal dan penipuan menang undian yang sampai saat ini masih marak terjadi karena kurang tanggap dan tegasnya penegakan hukum yang dilakukan bagi pelaku penipuan.

Bagi kalangan perbankan, karena memang menjadi pihak yang di incar ada beberapa hal yang dapat dilakukan seperti :
  • Pastikan jaringan intranet terlindung dari Trojan dengan perlindungan antivirus terpercaya. Untuk mengetahui antivirus yang direkomendasikan, salah satu sumber yang dapat menjadi referensi independen adalah organisasi nirlaba Virus Bulletin yang melakukan pengetesan atas semua produk antivirus secara rutin yang bisa dilihat hasilnya di https://www.virusbtn.com/vb100/RAP/RAP-quadrant-Apr-Oct14-1200.jpg.
  • Jaga dan tutup jalan untuk remote admin. Karena remote admin modern memiliki kemampuan untuk terkoneksi melalui multipel port, protokol dan mampu menembus pertahanan firewall karena terkoneksi melalui https, maka administrator jaringan harus putar otak untuk melindungi jaringan intranet dari tools remote admin.
  • Batasi dan monitor akses ke server kritis seperti server ATM, data base rekening nasabah dan server transaksi, khususnya jaringan intranet dan jangan pernah menganggap kalau jaringan intranet anda aman. Bersikap paranoid bisa menjadi penyelamat anda sebagai administrator sekuriti.
  • Pastikan seluruh komputer yang terhubung ke intranet dan internet tidak memiliki celah keamanan yang bisa dieksploitasi. Gunakan Patch Management seperti G Data Patch Management https://www.gdatasoftware.com/patchmanagement untuk memonitor dan menjaga celah keamanan dalam sistem jaringan anda.
  • Untuk pengamanan ATM, gunakan sistem monitoring eksternal yang handal seperti sistem CCTV yang berjalan dengan baik, memiliki backup, terpisah dan diamankan dengan baik sehingga jika terjadi tindak kejahatan, bank memiliki data pendukung guna memudahkan investigasi masalah.

Catatan :
Artikel ini dibuat dari berbagai sumber dan kredit artikel diberikan kepada Fox-IT dan Group-IB yang pertama kali menerbitkan analisa atas Anunak pada 22 Desember 2014.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: