Posted: 31 Januari 2012 23:58:00 by lucian BeritaNet.com | Dilihat 495 kali

Dalam beberapa bulan terakhir sejumlah perusahaan dan industry telah dibuat resah oleh kampanye Sykipot, yaitu sejenis Trojan berbahaya yang dirancang untuk mencuri informasi-informasi rahasia milik perusahaan/industry yang ditargetkan. Keadaan ini telah membuat para peneliti dari perusahaan Symantec, yaitu sebuah perusahaan perangkat lunak yang bergerak di bidang solusi keamanan semakin di sibuk-kan untuk melakukan sejumlah penelitian yang mencoba menggali informasi lebih lanjut tentang Trojan itu sendiri dan tentang operasinya. 

Hasil investigasi yang terbaru mengungkpkan bahwa setiap kampanye berisi Trojan Sykipot dapat di identifikasi  oleh kode unik yang terdiri dari huruf dan tanggal . Penanda ini memungkinkan penjahat cyber untuk mengkorelasikan serangan terhadap industry dan organisasi yang berbeda.

Para ahli juga menemukan dan berhasil menentukan lokasi/sumber penyebabnya yaitu server yang menjalankan perintah dan kontrol (C&C: Command & Control) yang berlokasi di Beijing-China, dan server ini ternyata di jalankan oleh ISP terbesar di Negara itu. Para penyerang ini menggunakan server yang memiliki ratusan file berbahaya, tepatnya server ini terletak di Provinsi Zhejiang..

Sebagian besar dari jenis file yang digunakan dalam serangan adalah file dengan format PDF yang membawa Trojan, tetapi file seperti gsecdump juga akan di gunakan setelah kompromi sukses.

Teridentifikasi juga beberapa teknik penggelapan yang berbahaya menggunakan teknik identifikasi cerdas. Symantec menemukan beberapa alat yang digunakan untuk membuat file PDF berbahaya menggunakan nama-nama orang Cina yang kemungkinan sengaja dirancang demikian untuk menghindari deteksi. 

Selanjutnya para peneliti juga menemukan beberapa domain baru yang terkait dengan penyerang sykipot seperti: 

altchksrv.hostdefence.net

data.wilsoncallcenter.com

help.newcarstyle.com

info.capestonecounty.com

info.facebook-support.org

info.wilsoncallcenter.com

live.tech-att.com

Beberapa domain diatas biasanya digunakan untuk melakukan kompromi dan digunakan dalam kampanye, tetapi kebanyakan digunakan untuk tujuan tunggal yaitu menjadi bagian dari infrastruktur Sykipot. Para peneliti telah menemukan bahwa penyerang sering mengirimkan email berbahaya dari server hosting yang sama, karena itu segala informasi ini akan sangat berguna untuk administrator jaringan dalam memantau serangan dan exfiltrasi data.

"Jelas sekali bahwa kelompok penyerang ini adalah orang-orang yang terus-menerus memodifikasi penciptaan mereka untuk memanfaatkan kerentanan baru dan untuk menghindari produk keamanan.

Hal ini penting karena jika berbicara tentang standardisasi SPDY, maka akan dimulai dalam pertemuan berikutnya pada Internet Engineering Task Force, yaitu salah satu badan yang mengatur standardisasi internet. 

Pertemuan dijadwalkan akan berlangsung pada bulan Juli tahun ini dan akan diselenggarakan oleh Google, sehingga diharapkan untuk fokus pada banyak proyek-proyek serupa SPDY dan proyek lainnya yang mungkin akan muncul ke permukaan.