Malware ‘Tardigrade’ yang Mengubah Bentuk Memukul Pembuat Vaksin

An APT telah menyerang dua produsen vaksin terpisah tahun ini menggunakan malware pengubah bentuk yang awalnya tampak sebagai serangan ransomware tetapi kemudian terbukti jauh lebih canggih, menurut temuan para peneliti.

Dijuluki Tardigrade oleh Pusat Berbagi dan Analisis Informasi Bioeconomy (BIO-ISAC), serangan tersebut menggunakan malware yang dapat beradaptasi dengan lingkungannya, menyembunyikan dirinya sendiri, dan bahkan beroperasi secara mandiri ketika terputus dari server command-and-control (C2), menurut penasehat terbaru yang dirilis oleh BIO-ISAC.

Serangan pertama terdeteksi di “fasilitas biomanufaktur besar” pada bulan April, dengan penyelidik mengidentifikasi pemuat malware “yang menunjukkan otonomi tingkat tinggi serta kemampuan metamorfik,” menurut penasihat tersebut. Pada Oktober 2021, malware juga terdeteksi di fasilitas kedua.

“Karena karakteristik canggih dan penyebaran terus-menerus dari ancaman aktif ini, BIO-ISAC membuat keputusan untuk mempercepat peringatan ancaman ini demi kepentingan publik,” kata pusat tersebut. dalam nasehatnya. Penyelidik terus menganalisis serangan dan akan merilis informasi lebih lanjut ketika tersedia, kata pusat tersebut.

Namun, untuk saat ini, “situs biomanufaktur dan mitra mereka didorong untuk berasumsi bahwa mereka adalah target dan mengambil langkah yang diperlukan untuk meninjau keamanan siber dan postur respons mereka, ” pusat itu memperingatkan.

Memang, sudah ada sejumlah serangan yang menargetkan upaya vaksin COVID-19 sejak pandemi dimulai, dan kemungkinan akan berlanjut, peneliti keamanan memperingatkan.

Pada Oktober 2020, Dr. Reddy’s, kontraktor Rusia Vaksin COVID-19 “Sputinik V” dan produsen obat generik utama, harus menutup pabrik dan mengisolasi pusat datanya setelah serangan siber. Dua bulan kemudian, pada bulan Desember, pelaku ancaman masuk ke server European Medicines Agency (EMA) dan mengakses dokumentasi tentang kandidat vaksin dari Pfizer dan BioNTech.

Malware Behavior

Menurut BioBright, perusahaan biomedis dan keamanan siber dan anggota BIO-ISAC, para peneliti menetapkan bahwa malware yang digunakan dalam serangan Tardigrade adalah varian dari keluarga SmokeLoader dengan kemampuan metamorf. SmokeLoader adalah backdoor generik dengan kemampuan yang bervariasi tergantung pada modul yang disertakan.

Varian tampaknya sangat pintar karena dapat mengubah propertinya tergantung pada lingkungannya, peneliti mengamati. Sementara versi SmokeLoader sebelumnya yang telah dilihat peneliti diarahkan secara eksternal oleh infrastruktur C2, varian yang digunakan dalam serangan Tardigrade “jauh lebih otonom” dan dapat mengarahkan gerakan lateralnya sendiri, menurut BIO-ISAC.

Malware ini juga dapat meningkatkan hak istimewanya menjadi tingkat tertinggi segera dengan meniru teknik klien, menurut penasehat.

Peneliti juga mengamati SmokeLoader mengirimkan lalu lintas terenkripsi ke alamat IP C2 dalam serangan, menyarankan eksfiltrasi informasi, kata mereka.

Apakah Ini Benar-Benar Malware Baru, atau Cobalt Strike?

Beberapa keamanan peneliti mempertanyakan laporan BIO-ISAC dan rincian teknisnya. Secara khusus, mereka meragukan identifikasi peneliti BioBright dari file intserrs644.dll yang dikirimkan ke VirusTotal sebagai varian malware/SmokeLoader Tardigrade baru. Mereka mengatakan kepada BleepingComputer bahwa file DLL, lebih tepatnya, adalah suar Cobalt Strike dan tidak ada hubungannya dengan SmokeLoader.

Pada hari Senin, CEO BioBright Charles Fracchia mengatakan kepada Threatpost bahwa pernyataan tersebut salah: “Kami sekarang memiliki konfirmasi pihak kedua dan ketiga. bahwa kami benar,” katanya dalam sebuah wawancara, menjelaskan bahwa ketidaksepakatan atas identifikasi malware bermuara pada tingkat kepercayaan yang berbeda dari alat otomatis. “Saya sedikit terkejut bahwa orang akan terburu-buru mengambil kesimpulan [bahwa malware tersebut adalah Cobalt Strike] dengan tingkat kepercayaan 50 persen [dari VirusTotal, dkk.].”

(Hingga hari Senin, BioBright masih mengoordinasikan pengungkapan tim respons insiden cyber yang mengkonfirmasi temuannya tetapi mengatakan bahwa salah satunya adalah “tim respons insiden cyber yang terkenal.”) “Pengujian mendalam”

BioBright telah menunjukkan bahwa malware tersebut bukan Cobalt Strike, katanya. “Ini bukan ransomware biasa. Ini adalah versi yang lebih canggih yang mungkin muncul dari SmokeLoader [kami menilai dengan] mungkin tingkat kepercayaan 65 persen.”

Seseorang menyukai malware ini, Fracchia berkata: Mereka “menghabiskan banyak waktu, uang, dan upaya untuk membuat kode yang canggih ini”, sarannya, menunjuk pada kualitas metamorf sebagai “bagian yang benar-benar menakutkan.”

Perbedaan antara metamorf dan polimorfik adalah pada artefak yang dikompilasi, jelasnya. Sebagian besar anti-virus bekerja dengan tanda tangan untuk mengidentifikasi malware seperti Cobalt Strike. Untuk menghindari identifikasi itu, insinyur malware melakukan salah satu dari dua hal: Mereka menggunakan polimorfisme, mengacak paket kode dengan enkripsi secara semi-acak, menggunakan kunci yang berbeda untuk enkripsi sehingga paket terlihat berbeda dan menghindari deteksi anti-virus; atau mereka menggunakan teknik metamorfisme yang sangat berbeda, yang mengubah bagian-bagian penyusun malware dan mengkompilasi ulang dirinya sendiri.

“Itu jauh lebih menarik,” katanya. “Itu dari rak paling atas alat.” Peneliti

BioBright masih mencoba mengungkap bagaimana hal itu terjadi, kata Fracchia, tetapi jelas bahwa Tardigrade memiliki beberapa perilaku morfik yang sangat canggih. “Kami menangkap alat yang sangat canggih, jadi – ya,” katanya.

Peringatan kepada Produsen

Serangan itu adalah peringatan bagi produsen vaksin bahwa pelaku ancaman menjadi lebih fokus pada upaya mereka untuk melumpuhkan sektor bisnis penting, yang memang menjadi biomanufaktur selama COVID -19 pandemi, kata profesional keamanan.

Perlombaan untuk mengembangkan dan mensertifikasi vaksin telah melampaui bahaya serangan siber pada fasilitas yang terlibat, tetapi sangat penting bahwa mereka tidak lengah, kata Saryu Nayyar, CEO perusahaan keamanan Gurucul .

“Hilangnya kemampuan pembuatan vaksin dapat dianggap sebagai senjata, merusak kemampuan kita untuk memerangi COVID-19,” katanya dalam email ke Threatpost. “Produsen ini harus mampu mendeteksi malware seperti Tardigrade dan memulihkannya sebelum menimbulkan bahaya yang signifikan.”

Meskipun tidak ada bukti langsung untuk membuktikan bahwa serangan Tardigrade secara khusus ditargetkan terhadap upaya vaksin, kompleksitas dan kecanggihannya menunjukkan bahwa hiper -kewaspadaan terhadap segala jenis serangan diperlukan di sektor ini, catat profesional keamanan lainnya.

“Intinya adalah semua sumber daya kami sedang dipindai untuk mengetahui kerentanan dan malware mencoba untuk dimasukkan di mana pun ada celah untuk penyerang,” kata Garret Grajek, CEO firma keamanan YouAttest.

Laporan tambahan oleh Lisa Vaas.

Ilustrasi milik nationalgeotv.com video.

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.
Tulis komentar
Bagikan artikel ini:

  • Infrastruktur Pentingliu

    <

    ul>iWebalwareliu

      i Keamanan
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: