LABSCON – Scottsdale, Arizona – Aktor ancaman baru yang telah menginfeksi perusahaan telekomunikasi di Timur Tengah dan beberapa penyedia layanan Internet dan universitas di Timur Tengah dan Afrika bertanggung jawab atas dua platform malware “sangat kompleks” — tetapi banyak tentang kelompok yang tetap diselimuti misteri, menurut penelitian baru yang terungkap di sini hari ini.
Para peneliti dari SentintelLabs, yang membagikan temuan mereka pada konferensi keamanan LabsCon pertama kalinya, menamai grup Metador, berdasarkan frasa "Saya adalah meta" yang muncul dalam kode berbahaya dan fakta bahwa pesan server biasanya dalam bahasa Spanyol. Kelompok ini diyakini telah aktif sejak Desember 2020, tetapi telah berhasil terbang di bawah radar selama beberapa tahun terakhir. Juan Andrés Guerrero-Saade, direktur senior SentinelLabs, mengatakan tim berbagi informasi tentang Metador dengan para peneliti di perusahaan keamanan lain dan mitra pemerintah, tetapi tidak ada yang tahu apa-apa tentang grup tersebut.
Peneliti Guerrero-Saade dan SentinelLabs Amitai Ben Shushan Ehrlich dan Aleksandar Milenkoski menerbitkan sebuah posting blog dan rincian teknis tentang dua platform malware, metaMain dan Mafalda, dengan harapan menemukan lebih banyak korban yang telah terinfeksi. “Kami tahu di mana mereka berada, bukan di mana mereka sekarang,” kata Guerrero-Saade.
MetaMain adalah pintu belakang yang dapat mencatat aktivitas mouse dan keyboard, mengambil tangkapan layar, dan mengekstrak data dan file. Ini juga dapat digunakan untuk menginstal Mafalda, kerangka kerja yang sangat modular yang memberikan penyerang kemampuan untuk mengumpulkan informasi sistem dan jaringan dan kemampuan tambahan lainnya. Baik metaMain dan Mafalda beroperasi sepenuhnya dalam memori dan tidak menginstal sendiri pada hard drive sistem.
Komik Politik
Nama malware itu diyakini terinspirasi oleh Mafalda, kartun populer berbahasa Spanyol dari Argentina yang secara teratur mengomentari topik politik.
Metador menyiapkan alamat IP unik untuk setiap korban, memastikan bahwa meskipun satu perintah dan kontrol ditemukan, infrastruktur lainnya tetap beroperasi. Hal ini juga membuat sangat sulit untuk menemukan korban lain. Sering terjadi ketika peneliti mengungkap infrastruktur serangan, mereka menemukan informasi milik banyak korban — yang membantu memetakan sejauh mana aktivitas kelompok. Karena Metador memisahkan kampanye targetnya, peneliti hanya memiliki pandangan terbatas tentang operasi Metador dan jenis korban yang ditargetkan kelompok tersebut.
Namun, apa yang tampaknya tidak dipikirkan oleh kelompok tersebut adalah bercampur dengan kelompok penyerang lainnya. Perusahaan telekomunikasi Timur Tengah yang merupakan salah satu korban Metador telah dikompromikan oleh setidaknya 10 kelompok penyerang negara-bangsa lainnya, para peneliti menemukan. Banyak dari kelompok lain tampaknya berafiliasi dengan China dan Iran.
Beberapa kelompok ancaman yang menargetkan sistem yang sama kadang-kadang disebut sebagai "magnet ancaman", karena mereka menarik dan menampung berbagai kelompok dan platform malware secara bersamaan. Banyak aktor negara-bangsa meluangkan waktu untuk menghilangkan jejak infeksi oleh kelompok lain, bahkan sampai menambal kelemahan yang digunakan kelompok lain, sebelum melakukan aktivitas serangan mereka sendiri. Fakta bahwa Metador menginfeksi malware pada sistem yang telah dikompromikan (berulang kali) oleh kelompok lain menunjukkan bahwa kelompok tersebut tidak peduli dengan apa yang akan dilakukan kelompok lain, kata peneliti SentinelLabs.
Mungkin saja perusahaan telekomunikasi adalah target bernilai tinggi sehingga kelompok tersebut bersedia mengambil risiko deteksi karena kehadiran beberapa kelompok pada sistem yang sama meningkatkan kemungkinan bahwa korban akan menyadari sesuatu yang salah.
Serangan Hiu
Sementara grup tersebut tampaknya memiliki sumber daya yang sangat baik — sebagaimana dibuktikan oleh kompleksitas teknis malware, keamanan operasional lanjutan grup untuk menghindari deteksi, dan fakta bahwa ia sedang dalam pengembangan aktif — Guerrero-Saade memperingatkan bahwa itu tidak cukup untuk menentukan bahwa ada keterlibatan negara-bangsa. Ada kemungkinan bahwa Metador mungkin merupakan produk dari kontraktor yang bekerja atas nama negara-bangsa, karena ada tanda-tanda bahwa kelompok itu sangat profesional, kata Geurrero-Saade. Dan anggota mungkin memiliki pengalaman sebelumnya melakukan serangan semacam ini pada tingkat ini, katanya.
"Kami menganggap penemuan Metador mirip dengan sirip hiu yang menembus permukaan air," tulis para peneliti, mencatat bahwa mereka tidak tahu apa yang terjadi di bawahnya. “Ini adalah penyebab firasat yang memperkuat kebutuhan industri keamanan untuk secara proaktif merancang untuk mendeteksi lapisan atas sebenarnya dari aktor ancaman yang saat ini melintasi jaringan dengan impunitas.”
