Cyberthreat.id - Kelompok peretas tingkat lanjut (APT) secara aktif menargetkan industri biotek, termasuk infrastruktur pembuatan vaksin, dengan malware khusus baru yang disebut 'Tardigrade.'

Pelaku menggunakan malware khusus untuk menyebar di jaringan yang disusupi dan mengekstrak data dalam waktu yang lama tanpa diketahui.

Menurut peringatan yang diterbitkan oleh Pusat Berbagi dan Analisis Informasi Bioekonomi (BIO-ISAC) pada 22 November lalu, seperti dilansir Bleeping Computer, aktor tersebut secara aktif menargetkan entitas di lapangan setidaknya sejak Januari 2020.

BIO-ISAC adalah organisasi nirlaba yang berfokus pada berbagi informasi untuk melindungi industri biotek dari ancaman serangan siber.

Anggota BIO-ISAC BioBright mengatakan kepada Wired bahwa tanda-tanda pertama yang terlihat dari serangan ini datang dalam bentuk infeksi ransomware aneh pada musim semi tahun 2020.

Tujuan dari penyebaran ransomware ini kemungkinan besar untuk menyembunyikan penurunan muatan yang sebenarnya, sebuah malware metamorfik yang akan bersarang di sistem yang disusupi, menyebar seperti worm, dan mengekstrak file.

Metamorfosa 'SmokeLoader'

BIO-ISAC menjelaskan bahwa pelaku ancaman menggunakan versi metamorfik khusus 'SmokeLoader' bernama 'Tardigrade,' yang dikirimkan melalui phishing atau stik USB yang entah bagaimana menemukan jalannya di lokasi organisasi target.

Malware ini sangat menarik karena dapat mengkompilasi ulang loader dari memori tanpa meninggalkan tanda tangan yang konsisten, sehingga jauh lebih sulit  mengidentifikasi, melacak, dan menghapusnya.

SmokeLoader bertindak sebagai pintu masuk tersembunyi bagi para aktor, mengunduh lebih banyak muatan, memanipulasi file, dan menyebarkan modul tambahan.

Versi SmokeLoader sebelumnya sangat bergantung pada arah eksternal, tetapi varian ini dapat beroperasi secara mandiri dan bahkan tanpa koneksi server C2 (command and control) yang dikontrol penyebar malware.

Bahkan jika C2 sedang down, malware terus bergerak secara lateral berdasarkan logika internal dan kemampuan pengambilan keputusan tingkat lanjut, bahkan memiliki kemampuan untuk mengidentifikasi file secara selektif untuk dimodifikasi.

Pada 25 Oktober 2021, BIO-ISAC melaporkan bahwa SmokeLoader dapat tetap tersembunyi dari kira-kira setengah dari mesin antivirus yang digunakan di Virus Total.

Bertahan dari serangan

Sasaran dari pelaku ancaman adalah spionase dunia maya dan mungkin juga gangguan operasional, tetapi malware mereka dapat menjadi masalah yang terus-menerus bagi sistem yang terinfeksi meskipun tidak dapat lagi berkomunikasi dengan server perintah dan kontrol.

Laporan BIO-ISAC merekomendasikan praktik berikut untuk mengikuti praktik segmentasi jaringan standar, menyimpan cadangan offline infrastruktur biologis utama, dan menanyakan tentang waktu tunggu untuk komponen bio-infrastruktur penting.

- Tinjau segmentasi jaringan biomanufaktur Anda

- Bekerja dengan ahli biologi dan spesialis otomatisasi untuk membuat analisis terbaik untuk perusahaan Anda

- Uji dan lakukan pencadangan offline infrastruktur biologis utama

- Tanyakan tentang waktu tunggu untuk komponen bio-infrastruktur utama

- Gunakan antivirus dengan kemampuan analisis perilaku
 
- Berpartisipasi dalam pelatihan deteksi Phishing

- Tetap waspada

Dianjurkan untuk menggunakan perangkat lunak keamanan dengan kemampuan analisis perilaku yang kuat, jadi meskipun SmokeLoader mengubah metode tanda tangan dan eksfiltrasi, perilaku mencurigakan dapat dideteksi dan meningkatkan alarm.

Saat ini, atribusinya masih belum jelas, sehingga asal usul serangan ini tidak diketahui.[]]