Symantec merilis hasil penelitian terkait bukti pertama alat dan protokol operasional yang dijabarkan dalam kebocoran data Vault 7. Alat dan protokol tersebut bebas digunakan penjahat siber, bernama Longhorn.
Menurut Symantec, alat yang digunakan Longhorn serupa dengan jadwal pengembangan dan spesifikasi teknis yang tercantum dalam dokumen bocoran dari Wikileaks. Longhorn juga menggunakan sejumlah protokol kriptografik serupa protokol pada dokumen Vault 7.
Kelompok penjahat siber ini juga dilaporkan Symantec, mengikuti panduan tentang taktik guna menghindari pendeteksian protokol sesuai dokumen Vault 7. Berdasarkan penelitian Symantec juga ditemukan bahwa aktivitas Longhorn dan dokumen Vault 7 merupakan hasil pekerjaan kelompok yang sama.
Selain itu, sejumlah dokumen yang dibocorkan oleh Wikileaks menyoroti spesifikasi dan persyaratan terkait alat malware. Salah satu dokumen tersebut merupakan pengembangan untuk malware, disebut dengan nama Fluxwire, berisi tanggal changelog untuk penambahan fitur baru.
Tanggal tersebut terkait dengan pengembangan salah satu alat milik Longhorn, yaitu Trojan.Corentry, yang terlacak oleh Symantec. Fitur baru pada Corentry secara konsisten muncul pada sampel yang diperoleh Symantec, baik dari tanggal yang sama yang tercantum pada dokumen Vault 7, maupun beberapa hari kemudian, membuktikan Corentry merupakan malware pada dokumen tersebut.
Sampai saat ini, Symantec telah menemukan bukti aktivitas Longhorn terhadap 40 sasaran yang tersebar di 16 negara yang berbeda. Symantec telah melihat Longhorn menggunakan empat alat malware yang berbeda terhadap target-targetnya: Corentry, Plexor, Backdoor.Trojan.LH1, dan Backdoor.Trojan.LH2.
Alat Longhorn menyusupkan kata-kata kode kapital, direferensikan secara internal sebagai “groupid” dan “siteid”. Kode tersebut diperkirakan dipergunakan untuk mengidentifikasi serangan dan para korban.
Symantec menyebut mengamati lebih dari 40 pengidentifikasi, dan umumnya pengidentifikasi tersebut menggunakan nama film, karakter, makanan, atau musik. Salah satu contohnya adalah pengakuan untuk grup band The Police, dengan menggunakan kata-kata kode REDLIGHT dan ROXANNE.
Sejumlah indikator menunjukkan Longhorn berasal dari negara di wilayah Amerika Utara yang berbahasa Inggris. Akronim MTWRFSU (Monday Tuesday Wednesday ThuRsday Friday Saturday SUnday) digunakan untuk mengkonfigurasi hari dalam setiap pekan saat malware akan berkomunikasi dengan para penyerang. (sumber: metrotvnews.com)
Tidak ada komentar:
Posting Komentar