Cyberthreat.id – Kehadiran malware yang semakin canggih telah meramaikan jagad dunia maya. Salah satunya adalah Reductor, yang dikembangkan oleh aktor spionase cyber, mampu membahayakan mesin lalu lintas TLS-encrypted dengan pengidentifikasi sehingga dapat dikompromikan dan berpotensi diterjemahkan nanti.

SC Magazine menuliskan bahwa, malware itu tampaknya berbagi kode yang mirip dengan trojan COMpfun, yang pertama kali didokumentasikan pada 2014 dan terkait erat dengan dugaan grup APT Rusia Turla, alias Venomous Bear dan Uroburos.

“Untuk alasan ini dan lainnya, para peneliti di Kaspersky Lab yang menemukan Reductor percaya Turla kemungkinan berada di balik ancaman canggih ini,” tulis SC Magazine.

Menurut laporan posting blog minggu ini dari tim Global Research & Analysis Team (GReAT) Kaspersky, kampanye penargetan malware Reduktor di Rusia dan Belarus telah beroperasi sejak April 2019 dan masih aktif hingga Agustus.

Kaspersky menemukan bahwa Reductor menyebar ketika komputer yang ditargetkan mengunduh distribusi perangkat lunak dari sumber pihak ketiga, atau melalui program decryptor / dropper pada mesin yang sudah terinfeksi COMpfun.

Dalam kasus mesin terinfeksi selama distribusi perangkat lunak, Kaspersky menentukan bahwa situs pihak ketiga dari mana mereka diunduh tidak dikompromikan, dan installer asli tidak terinfeksi. "Ini memungkinkan kami mengonfirmasi bahwa operator Reductor memiliki kendali atas saluran jaringan target dan dapat mengganti installer yang sah dengan yang terinfeksi saat itu juga," Kaspersky menjelaskan dalam laporannya.

Para aktor juga menemukan apa yang Kaspersky sebut sebagai cara "pintar" untuk berkompromi dan memata-matai komunikasi HTTPS dari host yang terinfeksi tanpa pernah menyentuh paket jaringan. Solusi mereka, ternyata, adalah menggunakan disassembler panjang instruksi Intel yang tertanam untuk menginstal patch berbahaya pada Firefox atau browser Chrome korban, untuk menyabot fungsi pseudo random number generation (PRNG) mereka.

“Browser menggunakan PRNG untuk menghasilkan urutan‘ klien acak ’untuk paket jaringan pada awal jabat tangan TLS,” Kaspersky menjelaskan. Melalui proses patch berbahaya, “Reductor menambahkan pengidentifikasi berbasis perangkat keras dan perangkat lunak unik yang dienkripsi untuk para korban ke bidang 'klien acak' ini.” ID korban ini dibuat dengan meminjam berbagai nilai atau titik data dari sertifikat digital jahat yang diperkenalkan oleh malware, serta properti perangkat keras mesin korban.

"Turla di masa lalu telah menunjukkan banyak cara inovatif untuk mencapai tujuannya, seperti menggunakan infrastruktur satelit yang dibajak," simpul posting blog.

“Kali ini, jika benar Turla adalah aktor di balik gelombang serangan baru ini, maka dengan Reductor itu telah menerapkan cara yang sangat menarik untuk menandai lalu lintas TLS terenkripsi tuan rumah dengan menambal peramban tanpa paket jaringan parsing. Viktimologi untuk kampanye baru ini selaras dengan minat Turla sebelumnya."[]