Semua berawal pada Juli 2018, ketika ESET menemukan bahwa backdoor Plead ditandatangani secara digital oleh sertifikat penandatanganan kode yang dikeluarkan untuk D-Link Corporation. Belum lama ini ESET mendeteksi aktivitas baru yang melibatkan malware yang sama dan kemungkinan koneksi ke perangkat lunak yang sah yang dikembangkan oleh ASUS Cloud Corporation.
Malware Plead adalah backdoor yang digunakan oleh kelompok BlackTech dalam serangan yang ditargetkan (Targeted attack). Kelompok ini juga diketahui aktif dalam kegiatan spionase siber di kawasan Asia.
Berlanjut di akhir April 2019 saat peneliti ESET yang menggunakan telemetri ESET mengamati beberapa upaya untuk menyebarkan malware Plead dengan cara yang tidak biasa. Secara khusus, backdoor Plead dibuat dan dieksekusi oleh proses yang sah bernama AsusWSPanel.exe. Proses ini milik klien Windows untuk layanan penyimpanan cloud yang disebut ASUS WebStorage
Semua sampel Plead yang diamati memiliki nama file berikut: Asus Webstorage Upate.exe [sic]. Penelitian ESET mengkonfirmasi bahwa modul AsusWSPanel.exe dari ASUS WebStorage dapat membuat file dengan nama file seperti itu selama proses pembaruan perangkat lunak. Ada beberapa kemungkinan penjelasan mengapa perangkat lunak yang sah dapat membuat dan menjalankan malware Plead, berikut kemungkinan skenarionya:
- Serangan rantai pasokan
Rantai pasokan membuka peluang tanpa batas bagi pelaku untuk secara diam-diam mengkompromikan sejumlah besar target pada saat yang sama, itulah mengapa jumlah serangan rantai pasokan meningkat. Dalam beberapa tahun terakhir para peneliti ESET menganalisis kasus-kasus seperti M.E.Doc, Elmedia Player, VestaCP, Statcounter, dan industri Gaming.
Untuk peneliti malware, tidak selalu mudah untuk mendeteksi dan mengonfirmasi serangan rantai pasokan tertentu, terkadang tidak ada cukup bukti untuk membuktikannya. Ketika kita memikirkan kemungkinan serangan rantai pasokan ASUS WebStorage, kita harus mempertimbangkan poin-poin berikut:
- Binari ASUS WebStorage yang sah dikirimkan melalui mekanisme pembaruan yang sama.
- Saat ini, kami tidak mengetahui bahwa server ASUS WebStorage digunakan sebagai server C&C atau telah melayani binari jahat
- Pelaku menggunakan file malware mandiri alih-alih menggabungkan fungsi berbahaya di dalam perangkat lunak yang sah
Oleh karena itu, ESET menganggap hipotesis kemungkinan serangan rantai pasokan sebagai skenario yang kurang memungkinkan. Namun, ESET tidak dapat menjamin sepenuhnya.
2. Serangan Man in the Middle
Perangkat lunak ASUS WebStorage rentan terhadap serangan Man in the Middle (MitM). Yaitu, pembaruan perangkat lunak diminta dan ditransfer menggunakan HTTP, setelah pembaruan diunduh dan siap dieksekusi, perangkat lunak tidak memvalidasi keasliannya sebelum dieksekusi. Dengan demikian, jika proses pembaruan disadap oleh peretas, mereka dapat mendorong pembaruan berbahaya.
Peneliti ESET terbiasa dengan kasus-kasus ketika malware dikirim menggunakan serangan MitM di tingkat ISP, seperti FinFisher, StrongPity2, dan kasus Mosquito Turla. Menurut penelitian sebelumnya peretas di balik malware Plead membahayakan router yang rentan dan bahkan menggunakannya sebagai server C&C untuk malware tersebut.
Investigasi ESET menemukan bahwa sebagian besar organisasi yang terkena dampak memiliki router yang dibuat oleh produsen yang sama. Selain itu, panel admin dari router ini dapat diakses dari internet. Dengan demikian, ESET menyakini bahwa serangan MitM di tingkat router adalah skenario yang paling mungkin.
Seperti disebutkan di atas, perangkat lunak ASUS WebStorage meminta pembaruan menggunakan HTTP. Secara khusus, itu mengirimkan permintaan ke server update.asuswebstorage.com, yang mengirim jawaban kembali dalam format XML. Elemen terpenting dalam respons XML adalah panduan dan tautan.
Elemen panduan berisi versi yang saat ini tersedia, elemen tautan berisi URL unduhan yang digunakan untuk pembaruan. Proses pembaruan sederhana: perangkat lunak memeriksa apakah versi yang diinstal lebih tua dari versi terbaru; jika demikian, maka ia meminta biner menggunakan URL yang disediakan. Oleh karena itu, pelaku dapat memicu pembaruan dengan mengganti kedua elemen ini menggunakan data mereka sendiri. Ini adalah skenario tepat yang sebenarnya ESET amati di dunia maya.
ESET menilai bahwa peretas terus mencari cara baru untuk mengirimkan malware mereka dengan cara yang lebih tersembunyi. ESET melihat bahwa serangan rantai pasokan dan Man in the Middle (MitM) semakin sering digunakan oleh berbagai peretas di seluruh dunia.
Inilah sebabnya mengapa sangat penting bagi pengembang perangkat lunak untuk tidak hanya memonitor lingkungan mereka secara menyeluruh untuk kemungkinan gangguan, tetapi juga untuk menerapkan mekanisme pembaruan yang tepat dalam produk mereka yang tahan terhadap serangan MitM.
