Penjahat dunia maya umum adalah ancaman, tidak diragukan lagi – mulai dari peretas kamar tidur hingga kelompok ransomware, penjahat dunia maya menyebabkan banyak kerusakan. Namun alat yang digunakan dan ancaman yang ditimbulkan oleh penjahat dunia maya biasa tidak ada artinya dibandingkan dengan alat yang digunakan oleh kelompok yang lebih profesional seperti kelompok peretas terkenal dan kelompok yang disponsori negara.
Faktanya, alat-alat ini terbukti hampir mustahil untuk dideteksi – dan diwaspadai. BVP47 adalah contohnya. Dalam artikel ini, kami akan menguraikan bagaimana malware yang disponsori negara yang kuat ini telah beredar diam-diam selama bertahun-tahun, bagaimana malware itu dengan cerdik menyamarkan dirinya, dan menjelaskan apa artinya bagi keamanan siber di perusahaan.
Cerita latar belakang di balik BVP47
Ceritanya panjang, cocok untuk novel mata-mata. Awal tahun ini, sebuah kelompok riset keamanan siber China bernama Pangu Lab menerbitkan laporan 56 halaman yang mendalam yang mencakup sepotong kode berbahaya yang oleh kelompok riset tersebut diputuskan untuk disebut BVP47 (karena BVP adalah string yang paling umum dalam kode, dan 47 mengingat algoritma enkripsi menggunakan nilai numerik 0x47).
Laporan ini benar-benar mendalam dengan penjelasan teknis menyeluruh, termasuk menyelam jauh ke dalam kode malware. Ini mengungkapkan bahwa Pangu Lab awalnya menemukan kode tersebut selama investigasi tahun 2013 ke dalam keadaan keamanan komputer di sebuah organisasi yang kemungkinan besar adalah departemen pemerintah China – tetapi mengapa kelompok itu menunggu hingga sekarang untuk menerbitkan laporan itu tidak disebutkan.
Sebagai faktor kunci, laporan tersebut menghubungkan BVP47 dengan “Kelompok Persamaan”, yang pada gilirannya telah dikaitkan dengan Unit Operasi Akses Khusus di Badan Keamanan Nasional Amerika Serikat (NSA). Pangu Lab sampai pada kesimpulan ini karena menemukan kunci pribadi yang dapat memicu BVP47 dalam satu set file yang diterbitkan oleh grup The Shadow Brokers (TSB). TSB mengaitkan dump file itu ke Grup Persamaan, yang membawa kita kembali ke NSA. Anda tidak bisa mengada-ada, dan ini adalah cerita yang cocok untuk film film.
Bagaimana cara kerja BVP47 dalam praktik?
Tapi cukup tentang elemen spy vs spy dari ceritanya. Apa yang dimaksud dengan BVP47 untuk keamanan siber? Intinya, ini berfungsi sebagai pintu belakang yang sangat pintar dan sangat tersembunyi ke dalam sistem jaringan target, yang memungkinkan pihak yang mengoperasikannya untuk mendapatkan akses tidak sah ke data – dan melakukannya tanpa terdeteksi.
Alat ini memiliki beberapa trik yang sangat canggih, sebagian mengandalkan perilaku eksploitasi yang tidak akan dicari oleh sebagian besar sysadmin – hanya karena tidak ada yang mengira alat teknologi apa pun akan berperilaku seperti itu. Ini memulai jalur infeksinya dengan menyiapkan saluran komunikasi rahasia di tempat yang tidak terpikirkan oleh siapa pun: paket TCP SYN.
Pada gilirannya yang sangat berbahaya, BVP47 memiliki kemampuan untuk mendengarkan pada port jaringan yang sama yang digunakan oleh layanan lain, yang merupakan sesuatu yang sangat sulit dilakukan. Dengan kata lain, ini bisa sangat sulit untuk dideteksi karena sulit untuk membedakan antara layanan standar yang menggunakan port, dan BVP47 yang menggunakan port tersebut.
Kesulitan dalam bertahan melawan garis serangan ini
Dalam putaran lain, alat ini secara teratur menguji lingkungan di mana ia berjalan dan menghapus jejaknya di sepanjang jalan, menyembunyikan proses dan aktivitas jaringannya sendiri untuk memastikan tidak ada jejak yang tersisa untuk ditemukan.
Terlebih lagi, BVP47 menggunakan beberapa metode enkripsi di beberapa lapisan enkripsi untuk komunikasi dan eksfiltrasi data. Ini tipikal alat tingkat atas yang digunakan oleh kelompok ancaman persisten tingkat lanjut – termasuk kelompok yang disponsori negara.
Jika digabungkan, ini merupakan perilaku yang sangat canggih yang dapat menghindari pertahanan keamanan siber yang paling cerdik sekalipun. Campuran firewall yang paling mumpuni, perlindungan ancaman tingkat lanjut, dan sejenisnya masih bisa gagal menghentikan alat seperti BVP47. Pintu belakang ini sangat kuat karena sumber daya yang dapat digunakan oleh aktor negara berkantong tebal untuk mengembangkannya.
Seperti biasa, latihan yang baik adalah taruhan terbaik Anda
Itu tidak berarti, tentu saja, bahwa tim keamanan siber harus menyerah begitu saja. Ada serangkaian aktivitas yang bisa mempersulit aktor untuk menggunakan alat seperti BVP47, paling tidak. Aktivitas kesadaran dan deteksi patut dilakukan, karena pemantauan ketat masih dapat menangkap penyusup dari jarak jauh. Demikian pula, honeypots dapat menarik penyerang ke target yang tidak berbahaya – di mana mereka mungkin mengungkapkan diri mereka sendiri.
Namun, ada pendekatan prinsip pertama yang sederhana yang memberikan perlindungan dalam jumlah besar. Bahkan alat canggih seperti BVP47 bergantung pada perangkat lunak yang belum ditambal untuk mendapatkan pijakan. Oleh karena itu, menambal OS dan aplikasi yang Anda andalkan secara konsisten adalah port panggilan pertama Anda.
Tindakan menerapkan tambalan dengan sendirinya bukanlah langkah yang paling menantang untuk diambil – tetapi seperti yang kita ketahui, menambal dengan cepat setiap saat adalah sesuatu yang dihadapi sebagian besar organisasi.
Dan tentu saja, itulah tepatnya yang diandalkan oleh para aktor ancaman seperti tim di belakang BVP47, saat mereka berbohong dan menunggu target mereka, yang mau tidak mau akan terlalu banyak sumber daya yang diregangkan untuk ditambal secara konsisten, yang pada akhirnya kehilangan tambalan kritis.
Apa yang bisa dilakukan tim yang tertekan? Penambalan langsung dan otomatis adalah salah satu solusi karena menghilangkan kebutuhan untuk menambal secara manual – dan menghilangkan restart yang memakan waktu dan waktu henti terkait. Jika tambalan langsung tidak memungkinkan, pemindaian kerentanan dapat digunakan untuk menyorot tambalan yang paling penting.
Bukan yang pertama – dan bukan yang terakhir
Laporan mendalam seperti ini penting untuk membantu kami tetap waspada terhadap ancaman kritis. Tapi BVP47 telah bermain selama bertahun-tahun sebelum laporan publik ini, dan sistem yang tak terhitung jumlahnya diserang sementara itu – termasuk target profil tinggi di seluruh dunia.
Kami tidak tahu berapa banyak alat serupa di luar sana – yang kami tahu hanyalah apa yang perlu kami lakukan untuk mempertahankan postur keamanan siber yang kuat secara konsisten: memantau, mengalihkan perhatian, dan menambal. Bahkan jika tim tidak dapat mengurangi setiap ancaman, mereka setidaknya dapat memasang pertahanan yang efektif, membuatnya sesulit mungkin untuk mengoperasikan malware dengan sukses.