Mobitekno – Seedworm, sebuah kelompok spionase berhasil dideteksi dan dipelajari oleh para peneliti dari Symantec. Kelompok ini cukup aktif dalam menyerang korbannya. Seedworm merupakan dalang dibalik serangkaian serangan cyber terkini yang dirancang untuk mengumpulkan intelijen tentang setiap target yang tersebar, terutama di wilayah Timur Tengah, Eropa, dan Amerika Utara. Hingga saat ini, Seedworm telah menyerang lebih dari 130 korban di 30 perusahaan, sejak September 2018.
Pada September 2018, para peneliti ini sudah menemukan bukti serangan Seedworm dan kelompok spionase APT28 (alias Swallowtail, Fancy Bear) pada sebuah komputer milik kantor kedutaan brazil di sebuah negara penghasil minyak.
Motivasi-motivasi di balik serangan Seedworm sangat mirip dengan motivasi dari kebanyakan kelompok spionase cyber lainnya. Mereka selalu berusaha untuk mendapatkan informasi yang dapat ditindaklanjuti tentang perusahaan dan individu yang menjadi target. Mereka mampu melakukan ini dengan mengutamakan kecepatan dan kelincahan dibandingkan keamanan operasional, yang akhirnya memampukan kami untuk mengidentifikasi infrastruktur operasional utama mereka.
Bahkan, aktivitas kelompok ini semakin berkembang. Baru-baru ini, para analis di tim DeepSight Managed Adversary dan Threat Intelligence (MATI) telah menemukan backdoor baru bernama Powermuddy, yang merupakan varian baru dari backdoor Powermud alias Powerstats dari Seedworm. Backdoor ini merupakan repositori GitHub yang digunakan untuk mengeksploitasi korban setelah mereka berhasil membuat pijakan di jaringan mereka.
Kelompok Seedworm mengendalikan backdoor Powermud dari belakang jaringan proxy untuk menyembunyikan lokasi command-and-control (C&C) utama. Kelompok Seedworm adalah satu-satunya kelompok yang diketahui menggunakan backdoor Powermud. Setelah menginfeksi sebuah sistem, biasanya dengan menginstal Powermud atau Powemuddy, Seedworm pertama-tama menjalankan tool yang dapat mencuri kata sandi yang disimpan di browser web dan email pengguna, yang menunjukkan bahwa akses ke email, media sosial, dan akun chat korban merupakan salah satu tujuan mereka. Seedworm kemudian menggunakan tool open source seperti LaZagne dan Crackmapexec untuk mendapatkan kredensial otorisasi Windows. Seedworm menggunakan versi off-the-shelf yang tidak dimodifikasi dari tool ini, serta varian yang dikompilasi secara khusus yang kami yakini hanya digunakan oleh kelompok ini.
Para korban dari serangan Seedworm yang berhasil diamati terutama berlokasi di Pakistan dan Turki, serta terdapat juga di Rusia, Arab Saudi, Afghanistan, Yordania, dan lainnya. Selain itu, kelompok tersebut juga menginfeksi perusahaan di Eropa dan Amerika Utara yang memiliki hubungan dengan Timur Tengah.
Beberapa sektor industri yang mungkin menjadi sasaran serangan sebanyak 80 dari 131 korban. Sektor telekomunikasi dan layanan TI adalah target utama. Entitas di sektor ini seringkali merupakan “korban yang membuka peluang bagi korban baru” karena penyedia layanan telekomunikasi atau agen dan vendor layanan IT dapat memberikan para aktor di balik serangan Seedworm korban-korban lain yang dapat diinfeksi.
Kelompok korban yang paling umum berikutnya berasal dari sektor pertambangan (minyak dan gas). Sebanyak 11 korban dalam kelompok ini merupakan milik satu perusahaan Rusia yang aktif di Timur Tengah. Hanya satu dari 11 korban ini yang secara fisik berada di Rusia; sisanya tersebar di Amerika Utara, Timur Tengah, Afrika, dan Asia. Universitas dan kedutaan adalah target paling umum berikutnya.
Guna mencegah serangan ini, Symantec pun menyarankan untuk selalu melindungi sistem perusahaan dari serangan Seedworm
Tags: Backdoor Powermud, Seedworm, Symantec
