Baru-baru ini, sekelompok hacker memakai sistem pembaruan software Asus untuk menyebarkan malware, ShadowHammer, kesejuta juta komputer Windows.
Meski saat ini Asus sudah mengulirkan update untuk mengatasi malware itu, perusahaan keamanan Kaspersky dan ESET mengungkap laporan terbaru.
Dikutip dari laman Gamerant, Selas, 30 April, dua perusahaan keamanan tersebut mendapati malware itu juga menargetkan tiga studio gim.
Terungkap, para peretas di balik serangan Asus juga menargetkan software Microsoft Visual Studio.
Dengan ini, peretas dapat menanam malware ke dalam gim buatan tiga pengembang yang menggunakan software terinfeksi malware tersebut.
Akibatnya, hampir lebih dari sembilan puluh dua ribu komputer terinfeksi malware itu. Namun, Kaspersky dan ESET meyakini jumlah tersebut bisa lebih tinggi dari yang terdata.
Meski salah satu pengembang yang terkena serangan itu belum teridentifikasi secara publik, dua yang sudah diketahui, yakni Electronics Extreme dan Zepetto.
Adapun dua judul gim yang terinfeksi, adalah Infestation (Electronics Extreme) dan Point Blan
Tak hanya itu, ESET juga mendata infeksi malware tersebut hampir semuanya berlokasi di Asia, dengan sebagian besar komputer berada di Thailand.
Apa yang membuat serangan terhadap ketiga pengembang begitu mengkhawatirkan, infeksi malware itu sudah terjadi sebelum gim itu diluncurkan.
Dalam laporan Wired tentang serangan itu, tercatat penyebaran malware sudah melampaui langkah yang terjadi dengan Asus.
Pada saat itu, para peretas harus menggunakan server Asus yang terinfeksi untuk menandai file pembaruan yang sudah terkompromi.
Setelah didera isu malware ShadowHammer pada update software yang menjangkiti ratusan ribu laptop dan PC Asus.
Asus kemudian menghadirkan perbaikan terhadap malware tersebut dalam bentuk patch keamanan yang bisa diunduh lewat software Live Update-nya.
Sebagai tambahan, perusahaan mengatakan, mereka punya tool diagnostik keamanan kedua yang bisa dipakai untuk memindai apakah komputer atau laptop Asus pengguna terdampak malware ini.
“Kami mengajak para pengguna yang peduli terhadap masalah ini untuk menjalankan (diagnostik keamanan) ini sebagai bagian dari tindakan pencegahan,” kata Asus dalam pernyataan tertulisnya, disertai dengan tautan ke software.
Meskipun menyediakan update patch keamanan terbaru, Asus tidak menuliskan permohonan maaf. Alih-alih begitu, Asus malah menyatakan, “hanya segelintir pengguna yang ditarget oleh serangan ini.”
Padahal sebelumnya, perusahaan keamanan siber Kaspersky Lab memperkirakan, malware ShadowHammer ini telah didistribusikan ke setidaknya 1 juta komputer, melalui update patch Asus.
Bukan hanya didistribusikan, patch keamanan ini juga telah diinstal di ratusan dari ribuan unit perangkat Asus. Tentunya jumlah tersebut bukanlah angka yang kecil.
Ada malware baru yang hadir lewat distribusi pembaruan software Asus belum lama ini.
Malware bernama ShadowHammer tersebut, kabarnya didistribusikan ke 1 juta komputer Windows dan menyamar sebagai sebuah pembaruan perangkat lunak “kritis” dari server Asus dan ditandai dari sertifikat Asus asli, sehingga membuatnya tampak valid.
Kaspersky Lab mengungkapkan cara kerja malware ShadowHammer.
Dalam keterangan resminya, serangan menargetkan kelemahan spesifik dalam sistem yang saling berhubungan antara sumber daya manusia, organisasi, material, dan intelektual yang terlibat dalam siklus kehidupan sebuah produk: dari tahap pengembangan awal hingga pengguna akhir.
Walau infrastruktur vendor dapat diamankan, justru tidak menutup kemungkinan bahwa masih ada kerentanan di fasilitas penyedianya dan menyabotase rantai pasokan yang dapat mengarah pada pelanggaran data yang menghancurkan dan tidak terduga.
Aktor di balik ShadowHammer menargetkan Asus Live Update Utility sebagai sumber infeksi awal.
Ini adalah utilitas yang dipasang sebelumnya pada sebagian besar komputer Asus baru, untuk pembaruan BIOS, UEFI, driver dan aplikasi otomatis.
Menggunakan sertifikat digital curian yang digunakan oleh Asus untuk menandatangani binari yang sah, para pelaku kejahatan siber melakukan perusakan pada versi lama dari perangkat lunak Asus dan menyuntikkan kode berbahaya mereka sendiri.
Utilitas yang sudah terinfeksi Trojan ditandatangani dengan sertifikat sah, kemudian di-host dan didistribusikan dari server pembaruan resmi Asus, yang membuatnya sebagian besar tidak terlihat oleh beberapa solusi perlindungan.
Meski ini berarti setiap pengguna perangkat lunak yang terpengaruh berpotensi menjadi korban, pelaku di balik ShadowHammer fokus pada mendapatkan akses ke beberapa ratus pengguna, yang justru sudah mereka ketahui sebelumnya.
Seperti yang ditemukan oleh peneliti Kaspersky Lab, setiap kode backdoor berisi tabel alamat MAC yang dikodekan, pengidentifikasi unik dari adaptor jaringan yang digunakan untuk menghubungkan komputer ke jaringan.
Setelah berjalan di perangkat korban, backdoor memverifikasi alamat MAC-nya terhadap tabel ini.
Jika alamat MAC cocok dengan salah satu entri, malware mengunduh tahap selanjutnya dari kode berbahaya. Jika tidak, updater yang diinfiltrasi tidak menunjukkan aktivitas jaringan apa pun, itulah sebabnya mengapa ia sulit ditemukan untuk waktu yang lama.
Secara total, pakar keamanan dapat mengidentifikasi lebih dari 600 alamat MAC. Ini ditargetkan oleh lebih dari 230 sampel backdoor yang unik dengan shellcode yang berbeda.
Pendekatan modular dan tindakan pencegahan ekstra dilakukan saat mengeksekusi kode, untuk mencegah kode yang tidak disengaja atau kebocoran data, menunjukkan bahwa sangat penting bagi para aktor di balik serangan canggih ini untuk tetap tidak terdeteksi, sambil menyerang beberapa target yang sangat spesifik dengan strategi yang tepat.
Analisis teknis mendalam menunjukkan bahwa gudang penyimpanan para pelaku kejahatan siber ini sangat terdepan dan mencerminkan perkembangan level tinggi dalam kelompoknya.
Pencarian malware yang serupa telah mengungkapkan perangkat lunak dari tiga vendor lain di Asia, semuanya menggunakan metode dan teknik yang sangat serupa. Kaspersky Lab juga telah melaporkan temuan ini kepada pihak Asus dan vendor lainnya.
“Vendor terpilih adalah target yang sangat menarik bagi kelompok APT yang mungkin ingin memanfaatkan basis pelanggan mereka yang luas. Belum jelas apa tujuan akhir para pelaku kejahatan siber itu dan kami masih meneliti siapa yang berada di balik serangan tersebut,” kata Vitaly Kamluk, Direktur Tim Penelitian dan Analisis Global, APAC, di Kaspersky Lab.
Namun, tambah Vitaly, teknik yang digunakan untuk mencapai eksekusi kode yang tidak sah, serta artefak yang ditemukan lainnya menunjukkan bahwa ShadowHammer mungkin terkait dengan Barium Apt, yang sebelumnya dikaitkan dengan insiden ShadowPad dan CCleaner.
Semua produk Kaspersky Lab juga telah berhasil mendeteksi dan memblokir malware yang digunakan di Operation ShadowHammer.
Untuk menghindari korban jatuh dari serangan yang ditargetkan oleh aktor ancaman yang dikenal atau tidak dikenal, peneliti Kaspersky Lab merekomendasikan untuk menerapkan langkah-langkah beriku
Selain mengadopsi perlindungan endpoint yang sangat harus Anda miliki, terapkan pula solusi keamanan tingkat korporat yang mendeteksi ancaman lanjutan pada tingkat jaringan tahap awal, seperti Kaspersky Anti Targeted Attack Platform.
Untuk mendeteksi level endpoint, investigasi, dan remediasi insiden secara tepat waktu, direkomendasikan penerapan solusi EDR seperti Kaspersky Endpoint Detection and Response atau menghubungi tim respon insiden profesional.
Integrasikan asupan Kecerdasan Ancaman ke dalam SIEM Anda dan melakukan kontrol keamanan lainnya untuk dapat mengakses ke data–data ancaman yang paling relevan dan terkini, serta bersiap menghadapi ancaman di masa depan.
