Kampanye serangan siber, yang berpotensi mengarah pada spionase siber, menyoroti semakin canggihnya sifat ancaman siber yang menyasar kontraktor pertahanan di Amerika Serikat dan negara lain.
Kampanye rahasia tersebut, yang dideteksi dan dilacak oleh para peneliti di Securonix sebagai STEEP#MAVERICK, telah menyerang banyak kontraktor senjata di Eropa dalam beberapa bulan terakhir, termasuk yang berpotensi menjadi pemasok program pesawat tempur F-35 Lightning II AS.
Apa yang membuat kampanye ini penting menurut vendor keamanan adalah perhatian keseluruhan yang diberikan penyerang terhadap keamanan operasi (OpSec) dan untuk memastikan malware mereka sulit dideteksi, sulit dihapus, dan sulit dianalisis.
Pelaku malware berbasis PowerShell yang digunakan dalam serangan tersebut memiliki โmenampilkan serangkaian taktik menarik, metodologi persistensi, kontra-forensik, dan kebingungan berlapis untuk menyembunyikan kodenya,โ kata Securonix dalam sebuah laporan minggu ini.
Kemampuan Malware yang Tidak Biasa
Kampanye STEEP#MAVERICK tampaknya telah diluncurkan pada akhir musim panas dengan serangan terhadap dua kontraktor pertahanan terkemuka di Eropa. Seperti banyak kampanye lainnya, rantai serangan dimulai dengan email spear-phishing yang berisi file terkompresi (.zip) dengan file pintasan (.lnk) ke dokumen PDF yang konon menjelaskan keuntungan perusahaan. Securonix menggambarkan email phishing itu mirip dengan yang ditemuinya dalam kampanye awal tahun ini Kelompok ancaman APT37 (alias Konni) Korea Utara.
Ketika file .lnk dijalankan, hal ini memicu apa yang Securonix gambarkan sebagai โrantai stager yang cukup besar dan kuat,โ masing-masing ditulis dalam PowerShell dan menampilkan sebanyak delapan lapisan kebingungan. Malware ini juga dilengkapi kemampuan anti-forensik dan kontra-debugging yang luas yang mencakup pemantauan daftar panjang proses yang dapat digunakan untuk mencari perilaku jahat. Malware ini dirancang untuk menonaktifkan logging dan melewati Windows Defender. Ia menggunakan beberapa teknik untuk bertahan pada suatu sistem, termasuk dengan menyematkan dirinya dalam registri sistem, dengan menyematkan dirinya sebagai tugas terjadwal, dan dengan membuat pintasan startup pada sistem.
Juru bicara Tim Riset Ancaman Securonix mengatakan jumlah dan variasi pemeriksaan anti-analisis dan anti-pemantauan yang dimiliki malware ini tidak biasa. Begitu pula dengan banyaknya lapisan kebingungan untuk muatan dan upaya malware untuk menggantikan atau menghasilkan muatan stager command-and-control (C2) kustom baru sebagai respons terhadap upaya analisis: โBeberapa teknik kebingungan, seperti menggunakan get-Shell alias untuk melakukan [cmdlet ekspresi pemanggilan] sangat jarang terlihat.โ
Aktivitas jahat dilakukan dengan cara OpSec-aware dengan berbagai jenis pemeriksaan anti-analisis dan upaya penghindaran selama serangan, dengan tempo operasional yang relatif tinggi dengan muatan khusus yang disuntikkan.
โBerdasarkan rincian serangan tersebut, satu hal yang dapat diambil oleh organisasi lain adalah memberikan perhatian ekstra untuk memantau alat keamanan Anda,โ kata juru bicara tersebut. โOrganisasi harus memastikan alat keamanan berfungsi sesuai harapan dan menghindari ketergantungan pada satu alat atau teknologi keamanan untuk mendeteksi ancaman.โ
Ancaman Dunia Maya yang Meningkat
Kampanye STEEP#MAVERICK hanyalah yang terbaru dari semakin banyaknya kampanye yang menargetkan kontraktor dan pemasok pertahanan dalam beberapa tahun terakhir. Banyak dari kampanye ini melibatkan aktor-aktor yang didukung negara yang beroperasi di Tiongkok, Rusia, Korea Utara, dan negara-negara lain.
Pada bulan Januari, misalnya, Badan Keamanan Siber dan Infrastruktur AS (CISA) mengeluarkan peringatan bahwa aktor-aktor yang disponsori negara Rusia menargetkan apa yang disebut kontraktor pertahanan bersih (CDC) dalam serangan yang dirancang untuk mencuri informasi dan teknologi pertahanan AS yang sensitif. Peringatan CISA menggambarkan serangan tersebut menargetkan sebagian besar CDC, termasuk mereka yang terlibat dalam pengembangan sistem tempur, teknologi intelijen dan pengawasan, pengembangan senjata dan rudal, serta desain kendaraan tempur dan pesawat terbang.
Pada bulan Februari, para peneliti di Palo Alto Networks melaporkan setidaknya empat kontraktor pertahanan AS menjadi sasaran kampanye distribusi pintu belakang tanpa file dan tanpa soket yang disebut SockDetour. Serangan tersebut adalah bagian dari kampanye yang lebih luas yang telah diselidiki oleh vendor keamanan bersama dengan Badan Keamanan Nasional pada tahun 2021 yang melibatkan kelompok gigih maju Tiongkok yang kontraktor pertahanan yang ditargetkan dan organisasi di berbagai sektor lainnya.
Kontraktor Pertahanan: Segmen Rentan
Yang menambah kekhawatiran atas meningkatnya volume serangan siber adalah kerentanan relatif dari banyak kontraktor pertahanan, meskipun mereka mempunyai rahasia yang harus dijaga ketat.
Penelitian terbaru yang dilakukan Black Kite terhadap praktik keamanan di 100 kontraktor pertahanan terbesar AS menunjukkan bahwa hampir sepertiga (32%) rentan terhadap serangan ransomware. Hal ini disebabkan oleh faktor-faktor seperti kredensial yang bocor atau disusupi, dan praktik yang lemah di berbagai bidang seperti pengelolaan kredensial, keamanan aplikasi, dan Keamanan Lapisan Soket Keamanan/Keamanan Lapisan Transportasi.
Tujuh puluh dua persen responden dalam laporan Black Kite pernah mengalami setidaknya satu insiden yang melibatkan kebocoran kredensial.
Mungkin masih ada harapan: Departemen Pertahanan AS, bersama dengan pemangku kepentingan industri, telah mengembangkan serangkaian praktik terbaik keamanan siber yang dapat digunakan oleh kontraktor militer untuk melindungi data sensitif. Di bawah program Sertifikasi Model Kematangan Keamanan Siber (Cybersecurity Maturity Model Certification) dari Departemen Pertahanan, kontraktor pertahanan diharuskan menerapkan praktik-praktik ini โ dan mendapatkan sertifikasi karena telah menerapkan praktik-praktik tersebut โ agar dapat menjualnya kepada pemerintah. Berita buruknya? Peluncuran program telah ditunda.
