Dari tahun 2012 kelompok siber yang menahbiskan dirinya sebagai Stealth Falcon beraksi mengincar target-target tertentu seperti aktivis politik dan jurnalis. Tidak tinggal diam, sebuah organisasi nirlaba, Citizen Lab mengawasi sepak terjang mereka melalui penelitian dan investigasi sejak 2016.
Di tahun 2019, Reuters mempublikasikan laporan investigasi yang mereka sebut sebagai Proyek Raven, Dalam laporan tersebut terungkap bahwa diduga ada mantan operator NSA yang bermain di baliknya dan membidik jenis target yang sama dengan Stealth Falcon. Berdasarkan dua laporan yang merujuk pada target dan serangan yang sama, telah disimpulkan bahwa Stealth Falcon dan Project Raven sebenarnya adalah kelompok yang sama.
Komponen kunci yang ditemukan dari hasil penelitian oleh Citizen Lab adalah backdoor berbasis PowerShell, dikirim melalui dokumen yang sudah dipermak terlebih dahulu dalam sebuah email berbahaya.
Dalam risetnya, ESET menemukan binary backdoor yang sebelum tidak dilaporkan atau luput dari perhatian, sebuah backdoor yang diberi nama Win32/StealthFalcon. Dalam penelitian lebih lanjut ESET berkeyakinan bahwa antara binary backdoor dan skrip PowerShell memiliki kesamaan yang menjadi bukti kuat bahwa Stealh Falcon dibuat oleh kelompok yang sama.
Backdoor Win32/StealthFalcon yang muncul saat ini dibuat tahun 2015, didesain untuk mudah dikontrol dari jarak jauh pada komputer yang berhasil diinfeksi. Dalam komunikasinya dengan server C&C, Win32/StealthFalcon menggunakan komponen Background Intelligent Transfer Service (BITS). BITS dirancang untuk mentransfer data dalam jumlah besar tanpa menggunakan banyak bandwidth jaringan, dibatasi agar tidak mempengaruhi kebutuhan bandwidth aplikasi lain.
Dibandingkan dengan komunikasi tradisional melalui fungsi API, mekanisme BITS diekspos melalui antarmuka COM dan karenanya lebih sulit untuk dideteksi oleh produk keamanan. Apalagi desain ini andal dan memiliki kemampuan stealth. Transfer dilanjutkan kembali secara otomatis setelah terputus karena alasan seperti pemadaman jaringan, pengguna keluar, atau sistem reboot, karena BITS menyesuaikan tingkat transfer file berdasarkan bandwidth yang tersedia, pengguna tidak memiliki alasan untuk curiga.
Win32/StealthFalcon dapat mengalihkan komunikasi antara dua server C&C yang alamatnya disimpan dalam kunci registri, bersama dengan nilai konfigurasi lainnya, dan dapat diperbarui dengan salah satu perintah backdoor. Jika backdoor gagal menjangkau server C&C-nya, backdoor menghapus dirinya sendiri dari sistem yang dikompromikan setelah sejumlah upaya gagal yang telah dikonfigurasikan sebelumnya.
Kapabilitas Stealth Falcon
Backdoor seperti Stealth Falcon tidak bisa dianggap remeh, jika pada investigasi yang dilakukan oleh peneliti keamanan sebelumnya tidak berhasil mendeteksi keberadaannya, maka backdoor ini memang didesain untuk dapat bersembunyi dari pantauan, untung ESET dapat mendeteksinya, berikut beberapa kelebihannya:
-
Setelah mulai berkerja Win32/StealthFalcon yang merupakan file DLL akan membuat schedule pada dirinya untuk berjalan pada setiap pengguna yang login.
-
Keahlian lainnya adalah mengumpulkan data, mengirimkan data yang terkumpul dan menggunakan tool berbahaya lainnya, selain itu ia mampu terus memperbarui konfigurasinya.
-
Kemampuan utamaya untuk mengunduh dan mengeksekusi file, dilakukan dengan memeriksa secara rutin untuk setiap file “win*.dll” atau “std*.dll”.
-
Win32/StealthFalcon mengumpulkan file dan menyiapkannya untuk dikirim dengan menyimpan salinan yang sudah dienkripsi dengan hardcode dalam folder sementara. Kemudian secara teratur memeriksa file-file seperti itu dan mengekstraknya secara otomatis.
-
Setelah file berhasil dikirim, malware tersebut menghapus semua file log dan mengumpulkan file-file sebelum menghapus file-file tersebut, file tersebut ditulis ulang dengan data acak untuk mencegah analisis forensik dan pemulihan data yang dihapus.
Benang merah
Seperti yang ESET ungkapkan di atas bahwa stealth Falcon dan backdoor berbasis PowerShell dibuat oleh kelompok yang sama, hal tersebut bukanlah asal tebak, ada beberapa bukti kuat yang menjadi landasan kesimpulan tersebut, berikut fakta yang ditemukan:
-
Dalam penelitian Citizen Lab, backdoor berbasis PowerShell yang dijelaskan di atas memiliki server Command & Control di alamat windowsearchcache[.]com yang bertindak sebagai server domain tahap 2 C2. Dalam investigasi ESET, server tersebut juga digunakan oleh salah satu versi Win32/StealthFalcon.
-
Kedua backdoor juga memiliki banyak kesamaan kode di dalamnya meskipun ditulis dalam bahasa yang berbeda, logika yang mendasarinya namun tetap sama. Keduanya juga menggunakan ID operasi atau ID target serupa sebagai pengidentifikasi.
-
Untuk komunikasi server C&C mereka, keduanya menggunakan HTTPS tetapi menetapkan tanda tertentu untuk koneksi untuk mengabaikan sertifikat server.
Kemahirannya bersembunyi bagi sebuah malware merupakan salah satu metode yang terus dikembangkan oleh para pengembang malware untuk menghindari pendeteksian. Keunikkan lain yang ditemukan dari Stealth Falcon adalah bagaimana ia menggunakan komunikasi C&C yang tidak biasa, BITS Windows dan beberapa teknik canggih untuk menghalangi deteksi dan analisis, dan untuk selalu persisten dan mempersulit analisis forensik.
Kompleksitas dan beragam kemampuan yang dimiliki menempatkannya sebagai ancaman yang berbahaya, terlebih lagi dengan memanfaatkan kemahirannya bersembunyi, membuat dirinya selalu berada di bawah radar dan aman bergerak secara leluasa ke target yang disasar. Beruntung ESET mampu mengidentifikasinya dengan mengenalinya sebagai Win32/StealthFalcon.
Sumber berita:
