Kaspersky Temukan APT CosmicStrand Berbahaya yang Serang Firmware UEFI

Teknogav.com – Peneliti Kaspersky menemukan rootkit bernama ‘CosmicStrand’ yang sangat berbahaya dalam jangka panjang. Rootkit ini dikembangkan oleh pelaku ancaman persisten tingkat lanjut atau advancerd persistent threat (APT). Ancaman ini sangat berbahaya dalam jangka panjang karena masih berada di mesin korban, bahkan setelah menginstal ulang sistem operasi Windows. Serangan terutama menyasar pada individu perseorang di Tiongkok, dengan kasus yang jarang terjadi di Vietnam, Iran dan Rusia.

Firmware UEFI merupakan komponen penting di sebagian besar perangkat keras. Kode pemrograman pada firmware berfungsi untuk melakukan boot dan meluncurkan komponen perangkat lunak yang memuat sistem operasi. Jika kode pemrograman pada firmware UEFI dimodifikasi untuk memuat kode berbahaya, maka kode ini diluncurkan sebelum sistem operasi meluncur. Metode ini membuat kode berbahaya tersebut tidak terdeteksi solusi keamanan dan pertahanan sistem operasi. Serangan pada firmware UEFI ini sangat rumit dan persisten karena malware tetap berada di perangkat walau sistem operasi diinstal ulang.

CosmicStrand dikaitkan dengan pelaku kejahatan berbahasa Tiongkok yang tidak dikenal sebelumnya. Tujuan para pelaku kejahatan tersebut masih belum diketahui. Hasil pengamatan menunjukkan bahwa korban yang diserang merupakan pengguna individu dan bukan komputer milik perusahaan atau organisasi. Semua perangkat yang diserang menggunakan sistem operasi Windows. Setiap dilakukan reboot pada komputer, kode berbahaya dieksekusi setelah Windows meluncur. Tujuan kode berbahaya tersebut adalah untuk terhubung ke server C2 (perintah-dan-kontrol) lalu mengunduh file berbahaya tambahan yang bisa dieksekusi.

Para peneliti tak bisa mengetahui cari rootkit menginfeksi mesin. Akun yang belum dikonfirmasi menunjukkan bahwa beberapa pengguna menerima perangkat yang disusupi saat memesan komponen perangkat keras secara online. Sepertinya implan UEFI sudah dimanfaatkan secara bebas sejak akhir tahun 2016. Penggunaan implan tersebut jauh sebelum serangan UEFI dipaparkan secara publik. Analisis lebih lanjut mengenai kerja CosmicStrands dan komponennya dapat dilihat pada Securelist.

“Meskipun baru-baru ini ditemukan, rootkit firmware CosmicStrand UEFI tampaknya telah digunakan cukup lama. Ini menunjukkan bahwa beberapa pelaku ancaman memiliki kemampuan yang sangat canggih yang berhasil mereka simpan di bawah radar sejak 2017. Kami dibiarkan bertanya-tanya alat baru apa yang telah mereka buat, sementara, itu yang belum kami temukan,” ucap Ivan Kwiatkowski, peneliti keamanan senior di Global Research and Analysis Team (GReAT) di Kaspersky.

Tips Menghindari Ancaman CosmicStrand

Tim Kaspersky juga memberikan beberapa tips berikut ini untuk bisa tetap terlindungi dari ancaman semacam CosmicStrand.

Menyediakan akses ke intelejen ancaman terkini bagi tim security operation center (SOC) perusahaan. Salah satu titik intelejen ancaman adalah Kaspersky Threat Intelligence Portal yang menyediakan data dan wawasan serangan siber
Menerapkan solusi EDR untuk deteksi level titik akhir, investigasi, dan pemulihan insiden dengan cepat, seperti Kaspersky Endpoint Detection and Response
Memberi pelatihan kebersihan keamanan siber dasar pada karyawan perusahaan. Hal ini penting karena banyak serangan yang sasarannya dimulai dengan phishing atau teknik rekayasa sosial lain
Menggunakan produk keamanan titik akhir tangguh yang bisa mendeteksi penggunaan firmware. Salah satu produk yang bisa digunakan adalah Kaspersky Endpoint Security for Business.
Perbarui firmware UEFI secara teratur dan hanya menggunakan firmware dari vendor tepercaya

Demikianlah beberapa tips yang disampaikan Kaspersky, semoga dapat tetap aman dari segala ancaman siber.