Trend Micro Sinyalir Serangan Terhadap Server Lembaga-Lembaga Pemerintah di Asia Timur
Jakartakita.com – Trend Micro melalui blog terbarunya mengabarkan bahwa lembaga-lembaga pemerintah di kawasan timur Asia tengah dibombardir oleh serangan-serangan yang menarget server jaringan mereka. Seperti dilansir siaran pers Rabu (27/5/2015), penyerang yang ditengarai sudah mafhum dengan setiap topologi, tools, serta perangkat lunak milik target berhasil mengambil alih akses ke server-server yang menjadi target dan menginstal malware di dalamnya.
Server-server yang telah berhasil diambil alih tersebut, kemudian tidak saja dijadikan sebagai gerbang utama untuk dilancarkannya serangan-serangan lainnya ke seluruh penjuru jaringan, namun juga dialihfungsikan menjadi server C&C. Ditengarai, jenis serangan seperti ini telah dilancarkan sejak 2014 lalu.
“Para penyerang berupaya untuk terus dapat menduduki jaringan tanpa mudah diusik-usik lagi dengan cara memodifikasi setiap aplikasi yang telah mereka instal di server. Beberapa file pada aplikasi tersebut terutama yang berkaitan dengan produktivitas, keamanan, serta system utility apps malah telah dipalsukan dan diubah supaya dapat digunakan untuk menyuntikkan file-file DLL yang berbahaya,” terang Country Manager Trend Micro Indonesia, Andreas Ananto Kagawa.
Hebatnya lagi, aplikasi-aplikasi yang telah diubah tadi juga turut berjalan saat sistem dihidupkan atau system startup. Hal ini membuktikan bahwa aplikasi-aplikasi tersebut telah dimodifikasi dengan sedemikian rupa supaya aplikasi-aplikasi yang terinstal tersebut dipastikan juga dapat berjalan saat server mulai dioperasikan.
Dari hasi investigasi, Trend Micro berhasil mengungkap lima aplikasi yang berhasil dimodifikasi oleh para penyerang. Aplikasi-aplikasi tersebut adalah Citrix XenApp IMA Secure Service (IMAAdvanceSrv.exe), EMC NetWorker (nsrexecd.exe), HP System Management Homepage (vcagent.exe), IBM BigFix Client (BESClient.exe), dan VMware Tools (vmtoolsd.exe).
Dari hasil pantauan yang dilakukan oleh Trend Micro, pada awalnya para penyerang tersebut mengincar dua server, kemudian berlanjut menembus jaringan guna menyuntikkan infeksi lebih lanjut. Hal ini terus mereka lakukan secara kontinu hingga awal 2015 dan berhasil menginfeksi lebih banyak server lagi.
Beberapa server yang terjangkiti diantaranya adalah server-server pengelolaan. Hal ini menandakan bahwa mereka telah berhasil menerobos akses sangat jauh hingga ke seluruh sistem di wilayah subnet yang dikelola di bawah server-server pengelolaan tersebut.
Trend Micro sendiri belum mencium apa yang hendak dilakukan oleh para penyerang tersebut atas keberhasilan mereka dalam menerobos akses ke jaringan tersebut, namun ditengarai mereka memanfaatkan hal tersebut supaya mereka dapat terus menancapkan kaki mereka di jaringan dan terus dapat mencuri informasi-informasi di sana.