Oleh : Wahyu

 

Jakarta, MediaProfesi.com - Symantec telah mengidentifikasi suatu kelompok penyerang yang awalnya tidak diketahui yaitu Orangeworm yang telah menginstal backdoor custom yang disebut Trojan.Kwampirs di dalam perusahaan-perusahaan besar skala internasional yang beroperasi di sektor layanan kesehatan di Amerika Serikat, Eropa, dan Asia.

 

Pertama kali ditemukan pada bulan Januari 2015 lalu, Orangeworm juga telah melancarkan serangan tertarget ke perusahaan di industri terkait sebagai bagian dari serangan terhadap rantai pasokan yang lebih besar guna mencapai target utama mereka.

 

Para korban yang diketahui terinfeksi serangan ini antara lain perusahaan penyedia layanan kesehatan, farmasi, penyedia solusi TI untuk industri kesehatan, dan perusahaan manufaktur peralatan kesehatan, yang diperkirakan dilakukan Orangeworm demi spionase perusahaan.

 

Rangkaian Informasi di Industri Kesehatan

Berdasarkan daftar korban yang terinfeksi, Orangeworm tidak memilih targetnya secara acak atau melakukan peretasan oportunistik.

 

Sebaliknya, kelompok ini tampaknya memilih targetnya secara hati-hati dan teliti, dengan melakukan perencanaan yang baik sebelum melancarkan serangan.

 

Menurut telemetri Symantec, hampir 40% perusahaan yang menjadi korban Orangeworm beroperasi di industri layanan kesehatan.

 

Malware Kwampirs ditemukan pada mesin yang memiliki software yang terinstal untuk penggunaan dan pengendalian perangkat pencitraan teknologi tinggi seperti mesin X-Ray dan MRI.

 

Selain itu, Orangeworm diketahui memiliki ketertarikan pada mesin-mesin yang digunakan untuk membantu pasien dalam mengisi formulir persetujuan untuk beragam prosedur yang diperlukan. Tidak jelas apa motif sebenarnya di balik serangan kelompok ini.

 

Jumlah korban Orangeworm terbanyak berada di AS, terhitung sebanyak 17% dari total jumlah serangan berdasarkan wilayah.

 

Meskipun Orangeworm hanya menjangkit segelintir korban pada tahun 2016 dan 2017 menurut telemetri Symantec, kami telah mengamati infeksi di beberapa negara lain karena kesamaan lingkup para korban yaitu perusahaan-perusahaan besar skala internasional.

 

Perusahaan Penyedia Layanan Kesehatan Menjadi Target

Kami meyakini bahwa industri-industri tersebut juga menjadi target sebagai bagian dari serangan terhadap rantai pasokan yang lebih besar agar Orangeworm mendapatkan akses ke korban utama mereka yang terkait dengan industri kesehatan.

 

Target sekunder dari Orangeworm termasuk industri Manufaktur, Teknologi Informasi, Pertanian, dan Logistik.

 

Walaupun industri-industri tersebut mungkin tampak tidak berhubungan, namun kami menemukan beberapa keterkaitan dengan industri kesehatan, misalnya pabrik-pabrik besar yang memproduksi perangkat pencitraan medis yang dijual langsung ke perusahaan layanan kesehatan, perusahaan-perusahaan IT yang memberikan layanan dukungan ke klinik-klinik medis, dan perusahaan logistik yang mengirim produk-produk layanan kesehatan.

Aktivitas Setelah Terjangkit

Begitu Orangeworm telah menyusup ke jaringan korban, mereka menyebarkan Trojan.Kwampirs, yaitu suatu Trojan backdoor yang memberikan penyerang akses jarak jauh ke komputer yang mereka susupi.

 

Saat diaktifkan, Kwampirs mendekripsi dan mengekstrak salinan payload DLL utama dari bagian sumber daya. Sebelum menulis payload ke drive, Trojan ini memasukkan string yang dihasilkan secara acak ke tengah-tengah payload yang telah didekripsi tersebut sebagai upaya untuk menghindari pendeteksian berbasis hash.

 

Guna memastikan kegigihan serangan, Kwampirs membuat satu layanan dengan konfigurasi berikut untuk memastikan bahwa payload utama dimuat ke dalam memori saat reboot sistem:

 

Backdoor itu juga mengumpulkan beberapa informasi dasar tentang komputer yang disusupi, termasuk beberapa informasi adapter jaringan dasar, informasi versi sistem, dan pengaturan bahasa.

 

Orangeworm kemungkinan menggunakan informasi tersebut untuk menentukan apakah sistem tersebut digunakan oleh seorang peneliti atau jika sang korban adalah target yang cukup berharga. Setelah Orangeworm menentukan bahwa calon korbannya menarik, ia kemudian akan secara agresif menyalin backdoor di seluruh lini jaringan terbuka untuk menginfeksi komputer-komputer lain.

 

Backdoor tersebut dapat menggandakan dirinya ke file-file yang tersembunyi sebagai berikut:

· ADMIN$

· C$WINDOWS

· D$WINDOWS

· E$WINDOWS


Perlindungan

Para pelanggan Symantec terlindungi dari infeksi Orangeworm dan Symantec juga telah berupaya untuk menginformasikan target yang teridentifikasi akan operasi Orangeworm.

 

Pelanggan dengan Intelligence Services atau produk-produk yang didukung WebFilter terlindungi dari aktivitas berbahaya terkait kelompok Orangeworm. Produk-produk yang dimaksud antara lain:

· Web Security Service (WSS)

· ProxySG

· Advanced Secure Gateway (ASG)

· Security Analytics

· Content Analysis

· Malware Analysis

· SSL Visibility

· PacketShaper

 

Symantec memiliki pendeteksi khusus untuk tool-tool yang digunakan oleh Orangeworm, yaitu:

Anti-virus (AV):

· Trojan.Kwampirs

Intrusion prevention system (IPS):

· System Infected: Trojan.Kwampirs Activity

· System Infected: Trojan.Kwampirs Activity 2

· System Infected: Trojan.Kwampirs Activity 4