Bolehkah peguam Microsoft mengalahkan penggodam pengintip Putin yang paling terkenal?

Penggodam pengintip Rusia telah mengambil status hampir mitos kerana lebih banyak butiran telah muncul tentang bagaimana mereka menggodam Jawatankuasa Kebangsaan Demokratik dan kempen Clinton dan mempengaruhi pilihan raya presiden yang lalu. Agensi Keselamatan Negara dan seluruh komuniti perisikan AS nampaknya berada di belakang mereka, dan yang terburuk mungkin akan datang.

Dan kini datang penyelamat yang tidak mungkin: peguam Microsoft. Mereka menggunakan gabungan pemfailan perundangan siber dan inovatif untuk menyerang salah satu kumpulan pengintipan siber paling berbahaya di Rusia, Fancy Bear. Setakat ini, taktik itu membuahkan hasil. Tetapi tidak jelas bahawa Microsoft boleh mengalahkan penggodam dalam jangka masa panjang.

Untuk mencari jawapannya, mari kita mulakan dengan melihat kumpulan yang dititikberatkan oleh Microsoft. Fancy Bear, kumpulan pengintipan siber Rusia yang paling terkenal dan berjaya, dipercayai terikat dengan agensi pengintip tentera Rusia, GRU. Juga dikenali sebagai APT28, Pawn Storm, Sofacy Group, Sednit dan Strontium, Fancy Bear telah wujud sejak pertengahan 2000-an, menyasarkan organisasi kerajaan, tentera dan keselamatan berbanding perniagaan. Keuntungan nampaknya tidak menjadi motif di sebalik serangannya. Sebaliknya, ia mengambil tindakan yang membantu kepentingan kerajaan Rusia. Selain daripada menggodam kempen DNC dan Clinton, ia juga telah mengejar NATO, calon presiden Perancis (dan pemenang akhirnya) Emmanuel Macron, parlimen Jerman, Rumah Putih Obama dan lain-lain.

Serangan Fancy Bear biasanya menggunakan e-mel spearphishing, tapak web yang menyamar sebagai sumber berita yang menjangkiti komputer yang melawatnya dan kelemahan sifar hari. Terhadap alat yang menggerunkan ini, Microsoft telah menyusun peguamnya, bersama dengan kepakaran siber syarikat, menurut artikel yang ditulis oleh pakar penggodam Kevin Poulson di Daily Beast. Tahun lepas, syarikat itu menyaman Fancy Bear di mahkamah persekutuan untuk beberapa perkara, termasuk melanggar tanda dagangan Microsoft dan pencerobohan komputer. (Microsoft menggunakan nama “Strontium” dan bukannya “Fancy Bear” apabila menerangkan kumpulan dalam saman itu.) Matlamatnya bukan untuk mendapatkan wang daripada Fancy Bear, dan Microsoft tidak menjangkakan mahkamah dapat menutup penggodam turun. Sebaliknya, ia menyasarkan apa yang disebut oleh syarikat dalam pemfailannya “titik paling terdedah” dalam skim pengintipan Fancy Bear, pelayan arahan dan kawalan yang mengawal perisian hasad yang ditanam kumpulan itu pada komputer mangsa. Jika pelayan tersebut boleh dimatikan, perisian hasad tidak boleh mengintipnya dan Fancy Bear akan dihentikan.

Microsoft datang dengan cara yang bijak untuk melakukannya. Fancy Bear menyewa pelayan dari pusat data di banyak tempat di seluruh dunia, tetapi ia berada di luar jangkauan Microsoft atau mahkamah. Oleh itu, Microsoft meminta mahkamah memerintahkan supaya pendaftar domain menyerahkan kepada Microsoft domain yang melanggar tanda dagangan yang digunakan oleh penggodam untuk menghalakan trafik berkaitan perisian hasad ke pelayan. Apabila Microsoft mendapat kawalan ke atas domain, ia mengubah hala lalu lintas ke pelayannya sendiri. Itu memutuskan hubungan antara penggodam dan mangsa dan menggagalkan serangan. Ia juga membolehkan Microsoft mengintip pengintip dan mendapatkan pemahaman yang lebih baik tentang cara serangan Fancy Bear berfungsi.

Microsoft telah memetik beberapa nama domain yang dimiliki oleh Fancy Bear yang dikatakan melanggar hak ciptanya, termasuk onedrivemicrosoft.com, outlook-security.org, rsshotmail.com dan Microsoftsecurepolicy.org. (Lihat pemfailan Microsoft untuk nama domain lain, dan butiran lanjut tentang serangan Fancy Bear.)

Microsoft telah meneliti nama domain yang digunakan oleh Fancy Bear dan kembali ke mahkamah sebanyak lima kali untuk meminta kawalan ke atas domain tersebut. Setakat ini, ia telah mendapat 70 domain daripada Fancy Bear dan sedang mencari lebih banyak lagi.

Mengapa Fancy Bear berusaha keras untuk menggunakan domain dengan nama yang berpotensi melanggar hak cipta Microsoft? Ini adalah satu cara untuk cuba mengakali pentadbir rangkaian IT untuk memikirkan domain tersebut dimiliki oleh Microsoft dan oleh itu selamat. Nota pemfailan Microsoft: “Domain arahan dan kawalan (‘C2’) yang digunakan oleh Strontium biasanya direka untuk mengelak daripada menarik perhatian jika pentadbir rangkaian menyedarinya semasa menyemak trafik rangkaian.”

Pemfailan Microsoft mendakwa bahawa ia telah mempunyai “impak yang ketara” terhadap keupayaan Fancy Bear untuk melakukan kemudaratan. Dengan menganalisis trafik Fancy Bear ke domain yang kini dikawal oleh Microsoft, Microsoft turut mendedahkan serangan ke atas 122 mangsa Fancy Bear tanpa disedari.

Semua ini adalah untuk kebaikan, tetapi tidak mungkin Microsoft akan berjaya menutup Fancy Bear. Terdapat bukti bahawa Fancy Bear mengubah cara ia berfungsi untuk mengelakkan teknik memerangi perisian hasad Microsoft. Syarikat keselamatan ThreatConnect berkata Fancy Bear telah mula mendaftarkan domain untuk pelayan arahan dan kawalannya yang generik dan tidak merujuk kepada Microsoft dalam apa jua cara.

Namun, strategi Microsoft pastinya akan memperlahankan Fancy Bear dan menjadikannya lebih sukar untuk beroperasi. Dan IT perusahaan boleh melakukan bahagiannya juga untuk melindungi dirinya sendiri. Organisasi harus menyemak pemfailan Microsoft untuk melihat jenis nama yang digunakan pelayan Fancy Bear dan teknik pengintipan siber yang digunakannya. Dan mereka harus berhati-hati melihat semua trafik rangkaian mereka dan tidak menganggap bahawa nama domain yang berbunyi sah adalah nama yang selamat. Dengan cara itu, ia bukan sahaja Microsoft menangkis Fancy Bear dan syarikat IT saudaranya boleh melakukan perkara yang sama.

Antipati terhadap wanita yang dinyatakan dalam pertikaian Gamergate mencerminkan kebenaran yang tidak selesa tentang…

Leave a Reply

Your email address will not be published. Required fields are marked *