Uroburos

16 Mei 2014
Uroburos
Ular naga beraksi dalam krisis Ukraina
Keberadaan malware yang disponsori negara bukan isapan jempol. Pada 10 Mei 2014 lalu, Uroburos terbukti menjalankan aksinya, dan kali ini korbannya adalah Departemen Luar Negeri Belgia. Uroburos menjalankan aksinya mencuri dokumen dan informasi mengenai krisis di Ukraina. Demikian pernyataan yang dikeluarkan oleh Menlu Belgia. Uroburos (ular naga) adalah malware yang disponsori oleh negara (state sponsored malware) yang ditemukan dan diumumkan pada Februari 2014 oleh analis Gdata. Sasaran malware ini jelas bukan pengguna biasa dan terbukti berhasil menginfeksi dan menjalankan aksinya mencuri data dari pemerintah Belgia. Pada saat ditemukan oleh G Data pada bulan Februari 2014, Uroburos belum menjalankan aksinya dan seperti malware yang disponsori negara lainnya, Uroburos menunggu saat yang tepat untuk menjalankan aksinya dan ternyata pada krisis Ukraina malware ini digunakan dan ditengarai pihak Rusia berada dibalik aksi Uroburos. Uroburos diciptakan untuk berjalan dan memata-matai jaringan komputer besar yang dimiliki oleh perusahaan korporat besar, kantor berita, departemen pemerintah, otorita, organisasi keamanan dan institusi besar lainnya.
Menurut analis Gdata, kasus di Belgia ini diyakini merupakan puncak gunung es dan ditengarai Uroburos sudah menjalankan aksinya di negara-negara Eropa Barat lainnya.



Artikel Uroburos

Uoroboros menurut legenda Yunani kuno adalah ular naga yang memakan ekornya sendiri dan hal ini merupakan simbol siklus atau keabadian seperti burung api (phoenix). Sesuatu yang selalu berregenerasi menjadi lebih baik setiap kali ia mati. Rupanya hal ini yang menginspirasi pembuat malware yang disinyalir berasal dari Rusia dan disinyalir bersumber dari organisasi yang memiliki sumber daya dan dana tak terbatas (negara) karena kompleksitas dan kesulitan pembuatan malware ini yang tidak memungkinkan organisasi konvensional membuat malware yang canggih ini. Teks yang mengandung string Ur0bUr()sGotyOu# ditemukan pada malware ini pada saat dianalisa oleh analis G Data Antivirus menyebabkan ia dinamai uroburos. Uroburos diduga kuat memiliki hubungan yang sangat erat dengan malware Agent.BTZ atau malahan merupakan regenerasi dari Agent.BTZ yang sempat membuat geger pemerintah Amerika di tahun 2008.
20140516I_uroburos03
Gambar 1, Logo Uroburos, ular naga memakan ekornya sendiri pelambang keabadian
Agent.BTZ dan Operation Buckshot Yankee
Uroburos disinyalir dibuat oleh organisasi yang sama dengan pembuat malware Agent.BTZ karena ia akan menghindari infeksi komputer yang sudah terinfeksi malware Agent.BTZ. Agent.BTZ sendiri adalah malware yang pernah membuat geger pemerintah Amerika di tahun 2008 karena berhasil menginfeksi jaringan komputer Pentagon termasuk komputer Pusat Komando Pentagon dan membutuhkan waktu 14 bulan untuk melakukan pembersihan secara tuntas serta mengakibatkan perombakan besar-besaran atas kebijakan sekuriti komputer militer Amerika Serikat saat itu. Operasi pembersihan komputer dari Agent.BTZ dikenal dengan nama Operation Buckshot Yankee. Agent.BTZ terdeteksi pertama kali menginfeksi melalui UFD (USB Flash Disk) ke komputer militer yang berbasis di Timur Tengah. Setelah berhasil melakukan penetrasi pada jaringan, ia berhasil menginfeksi banyak komputer militer termasuk komputer-komputer yang memiliki data sangat rahasia. Karena insiden ini, akhirnya Pentagon melarang penggunaan semua UFD dan sejenisnya dari November 2008 s/d Februari 2010.


Kompleks dan canggih
Nama Uroburos tersebut diberikan karena malware ini mengandung teks Ur0bUr()sGotyOu# pada kode malware (lihat gambar 2)
20140516I_uroburos02
Gambar 2, String Ur0bUr()sGotyOu# pada badan malware
Struktur dan desain uroburos menunjukkan kompleksitas dan keahlian malware yang tidak lazim dimiliki oleh programmer / organisasi kriminal biasa dan kemungkinan merupakan state sponsored malware, jenis malware yang dibuat oleh organisasi yang memiliki dana dan sumberdaya tidak terbatas dan lazimnya sumberdaya seperti ini hanya dimiliki oleh negara atau lebih tepatnya dinas intelijen negara. Kabar buruknya, varian yang lebih canggih dari uroburos diperkirakan terus dikembangkan dan akan terus bermunculan di masa depan.

Uroburos memiliki kemampuan relaying dimana tetap dapat mencapai tujuannya mencuri data dan mengirimkannya melalui internet ke pusat komandonya sekalipun komputer yang diinfeksinya tidak terhubung langsung ke internet dan hanya terhubung ke intranet. Dengan mengontrol satu komputer yang terinfeksi, komputer lain dalam jaringan akan bisa di infeksi sekalipun komputer tersebut tidak terkoneksi ke internet dan hanya terhubung ke jaringan lokal / intranet. Hal ini yang jelas menuntun pada tujuan utama uroburos menyadap atau mencuri data dari komputer korbannya. Hebatnya lagi, data yang didapatkan dari semua komputer di intranet akan dikirimkan secara relay dari komputer manapun yang terinfeksi uroburos dan terhubung ke internet secara peer to peer. Karakter seperti ini lebih menegaskan lagi kalau malware ini difokuskan untuk menyerang jaringan komputer dalam skala besar yang selain mengincar departemen yang memiliki data sensitif juga termasuk jaringan komputer korporat besar dan jaringan komputer otoritas publik.

Aksi uroburos dikontrol oleh komputer pusat komando (command and control) dan memiliki kemampuan peer to peer dimana semua komputer yang terinfeksi saling berkomunikasi dua arah dan dapat diperintahkan untuk melakukan hal yang diinginkan dari pusat komando. Uroburos kompatibel dengan sistem Windows baik 32 bit atau 64 bit. Dan seperti malware Stuxnet, Duqu dan Flame yang disponsori oleh negara uroburos disinyalir sudah wara wiri menjalankan aksinya selama 3 tahun tanpa terdeteksi oleh program antivirus. Hal ini di dasari oleh penemuan salah satu driver yang digunakan uroburos yang sudah ada sejak tahun 2011. Penyebaran pertama uroburos sendiri tidak diketahui secara pasti namun yang jelas ia memiliki kemampuan menyebarkan diri melalui spear phishing, drive by infection, UFD dan teknik rekayasa sosial lainnya. Kecanggihan uroburos terlihat pada dua sistem virtual yang dijalankan bersamaan pada komputer yang diinfeksinya. Kedua sistem virtual NTFS dan FAT yang tersimpan secara lokal ini terenkripsi pada komputer yang diinfeksinya.

Dalam tangka menjalankan aksinya, uroburos menggunakan banyak tools canggih seperti Dumper for NTML yang dapat digunakan untuk menjalankan aksi serangan pass the hash yang mampu mengakses password administrator dan akun lain tanpa perlu mengetahui isi password itu sendiri dan hanya dengan mencuri hash yang digunakan dalam identifikasi password. Sistem apapun yang menggunakan LM (Lan Manager) atau NTLM (New Technology Lan Mananger) yang dikombinasikan dengan protokol seperti SMB, FTP, RPC, HTTP dan lainnya sangat riskan terhadap serangan pass the hash. Celah keamanan ini sangat luas dan sulit ditutup karena sangat banyak kemungkinan eksploitasi yang tersedia baik pada OS Windows maupun aplikasi yang berjalan pada OS Windows yang bisa dieksploitasi. Setelah berhasil mengakses data menggunakan akun yang diincar, ia menggunakan program pengumpul data guna mendapatkan sebanyak mungkin data dari sistem yang di infeksinya dan data yang dicuri ini akan dikompres menggunakan RAR tools. Selain itu, tools khusus untuk mencuri data Mircosoft Office juga digelar guna mendapatkan sebanyak mungkin data berharga dari sistem yang di infeksinya.

Salah satu senjata andalan uroburos dalam mencuri data komputer korbannya adalah kemampuannya melakukan PCAP (Packet Capture) dan mengirimkan data melalui protokol HTTP, ICMP, SMTP dan Named Pipe yang memungkinkannya mengirimkan data curian sekalipun dari komputer yang tidak terhubung langsung ke internet. (lihat gambar 3)
20140516I_uroburos01
Gambar 3, Teknik uroburos mengirimkan data dari komputer yang tidak terhubung ke internet dengan memanfaatkan komputer lain yang memiliki koneksi internet
Teknik pengiriman data peer to peer yang digunakan sangat efisien dan handal. Sebagai gambaran, jika satu proxy node tidak tersedia, maka komputer lain di dalam jaringan yang terinfeksi akan digunakan menggantikan komputer tersebut. Kabar buruknya bagi administrator, proxy node yang digunakan dalam pengiriman data ini sifatnya pasif dan satu-satunya cara untuk mengidentifikasi seluruh proxynode adalah mengakses komputer pusat komandonya yang tentunya dilindungi dengan baik oleh pembuat malware dan berada di luar jaringan / jangkauan administrator.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: