Internet Sehat : Sebuah kelompok pengancam yang terkait Rusia dan hampir secara eksklusif menargetkan Ukraina sejak pertama kali muncul pada tahun 2014 menyebarkan beberapa varian muatan malware pada sistem di negara tersebut.
Geng Shuckworm juga dikenal sebagai Armageddon dan Gamaredon menggunakan setidaknya empat varian berbeda dari pintu belakang Pterodo yang dirancang untuk melakukan tugas serupa, tetapi berkomunikasi dengan server perintah dan kontrol (C2) yang berbeda. hal ini diungkapkan oleh Tim Pemburu Ancaman Symantec.
Para peneliti mengatakan bahwa alasan yang paling mungkin untuk menggunakan beberapa varian adalah bahwa hal itu dapat memberikan cara yang belum sempurna untuk mempertahankan kegigihan pada komputer yang terinfeksi. Jika satu payload atau server [C2] terdeteksi dan diblokir, penyerang dapat menyerang salah satu dari yang lain dan meluncurkan lebih banyak varian baru untuk mengimbanginya.
Serangan Shuckworm adalah bagian dari kampanye berkelanjutan oleh kelompok ancaman yang disponsori negara Rusia yang meningkatkan upaya mereka menjelang invasi ke Ukraina pada akhir Februari dan terus melanjutkan serangan mereka sejak itu.
Perang siber aktif yang paralel dengan serangan militer Rusia telah mengkhawatirkan badan-badan Barat karena hal itu dapat meluas ke perusahaan-perusahaan di AS dan di tempat lain, baik secara kebetulan melalui pihak ketiga atau secara langsung karena sanksi keras yang dijatuhkan pada Rusia.
Dalam kasus Shuckworm, geng tersebut telah aktif selama bertahun-tahun. Dinas Keamanan Ukraina (SSU) tahun lalu mengatakan kelompok itu bertanggung jawab atas lebih dari 5.000 serangan terhadap lembaga publik atau infrastruktur penting dan menghubungkan Shuckworm dengan FSB, layanan keamanan Rusia dan penerus KGB. SSU mengatakan kelompok itu menargetkan lebih dari 1.500 sistem komputer pemerintah selama tujuh tahun.
Mereka mencatat bahwa Shuckworm tampaknya sebagian besar berfokus pada spionase dan pengumpulan intelijen, tetapi mengatakan serangan itu bisa menjadi pendahulu dari insiden yang lebih serius jika kelompok tersebut menyerahkan akses yang didapatnya dari organisasi Ukraina ke aktor ancaman lain yang disponsori Rusia.
Empat varian yang diamati dari malware Pterodo kustom yang juga dikenal sebagai Pteranodon semuanya menggunakan dropper Visual Basic Script (VBS) dengan fungsi serupa. Mereka menjatuhkan file VBScripts, menggunakan Tugas Terjadwal (shtasks.exe) untuk memastikan ketekunan dan mengunduh kode dari server C2.
Sumber : The Register
