JAKARTA, PCplus – Ia pakai bahasa Spanyol, canggih, sulit sekali dideteksi dan berbahaya. Maklum toolset yang dipakai The Mask ini sangat kompleks, mencakup malware yang canggih, rootkit, bootkit, beragam versi Mac OS X dan Linux, serta mungkin juga berbagai versi Android dan iOS.
Korban The Mask alias Careto yang beraksi sejak tahun 2007 itu tersebar di 31 negara, mulai dari Timur Tengah dan Eropa sampai Afrika dan Amerika. Sasaran utama adalah lembaga pemerintah, kantor diplomatik dan kedutaan besar, perusahaan energi dan migas, lembaga penelitian dan aktivis.
Tujuan utama para pelaku adalah mengumpulkan data sensitif dari sistem yang terinfeksi. Data ini termasuk dokumen-dokumen kantor serta berbagai kunci enkripsi, konfigurasi VPN, kunci SSH (digunakan untuk mengidentifikasi pengguna ke server SSH) dan file RDP (digunakan oleh Remote Desktop Client untuk secara otomatis membuka koneksi ke komputer yang disasar).
Namun akhirnya tim riset keamanan Kaspersky Lab berhasil mengungkap The Mask. Kaspersky mencurigai kegiatan spion cyber tersebut dibiayai oleh negara (state-sponsored). Dugaan ini didasarkan profesionalitas yang sangat tinggi dalam operasi The Mask, mulai dari manajemen infrastruktur, penutupan operasi, menghindar dari mereka yang penasaran melalui access rules dan file log mereka tidak sekadar dihapus (delete) tetapi di-overwrite (wiping).
“Semua gabungan hal ini membuat APT ini berada di atas Duqu dalam hal kecanggihan, dan membuatnya menjadi ancaman paling canggih yang ada saat ini,” terang Costin Raiu, Director of the Global Research and Analysis Team (GReAT), Kaspersky Lab. “Tingkat keamanan operasi seperti ini tidak lazim untuk sebuah kelompok penjahat cyber,” tambahnya.
Di antara 1000 lebih IP, Kaspersky Lab menghitung ada 380 korban unik/istimewa. Infeksi ditemukan di Afrika Selatan, Aljazair, Amerika Serikat, Argentina, Belgia, Bolivia, Brazil, China, Gibraltar, Guatemala, Inggris, Iran, Irak, Jerman, Kolombia, Kosta Rika, Kuba, Libya, Malaysia, Maroko, Meksiko, Mesir, Norwegia, Perancis, Pakistan, Polandia, Spanyol, Swiss, Tunisia, Turki, dan Venezuela.
Bagaimana sih cara The Mask menulari korbannya? Menurut Kaspersky Lab, melalui e-mail spear-phishing dengan tautan ke situs berbahaya. Setelah infeksi berhasil dilakukan, situs berbahaya tersebut akan mengalihkan pengguna ke situs tak berbahaya yang ada di dalam e-mail, misalnya ke situs film di YouTube atau portal berita.
Eh tapi situs yang dieksploitasi tidak otomatis menginfeksi pengunjungnya loh. Cuma para pelaku menempatkan eksploitasi di folder tertentu di dalam situs, yang tidak langsung merujuk kemana pun, selain ke email berbahaya. Adakalanya, agar terlihat lebih nyata, dipakai subdomain pada situs yang dieksploitasi. Subdomain ini meniru subseksi koran-koran utama di Spanyol dan beberapa koran internasional seperti The Guardian dan Washington Post.
Berita baiknya, produk-produk Kaspersky Lab mampu mendeteksi dan menghapus seluruh versi malware “The Mask”/Careto yang diidentifikasi.