Grup peretas Rusia yang dikenal sebagai Turla telah melakukan beberapa aksi peretasan paling inovatif dalam sejarah spionase dunia maya, menyembunyikan komunikasi malware mereka dalam koneksi satelit atau membajak operasi peretas lain untuk menyamarkan ekstraksi data mereka sendiri. Namun, ketika beroperasi di wilayah sendiri, mereka ternyata mencoba pendekatan yang sama luar biasa meski lebih lugas: Mereka tampaknya memanfaatkan kendali atas penyedia layanan internet (ISP) Rusia untuk langsung menanam spyware di komputer target mereka di Moskow.
Tim penelitian keamanan Microsoft yang fokus pada ancaman peretasan hari ini menerbitkan laporan yang merinci teknik mata-mata baru licik oleh Turla, yang diduga bagian dari badan intelijen FSB Kremlin. Grup ini, juga dikenal sebagai Snake, Venomous Bear, atau nama internal Microsoft, Secret Blizzard, tampaknya menggunakan akses sah negara ke ISP Rusia untuk memanipulasi lalu lintas internet dan mengelabui korban yang bekerja di kedutaan asing di Moskow agar menginstal perangkat lunak berbahaya mereka di PC. Spyware itu lalu menonaktifkan enkripsi di mesin target sehingga data yang dikirim tetap tak terenkripsi, membuat komunikasi dan kredensial seperti nama pengguna dan kata sandi rentan diawasi oleh ISP tersebut—dan lembaga pengintaian negara mana pun yang bekerja sama dengannnya.
Sherrod DeGrippo, Direktur Strategi Intelijen Ancaman Microsoft, mengatakan teknik ini merupakan perpaduan langka antara peretasan bertarget untuk spionase dan pendekatan pasif pemerintah untuk pengawasan massal, di mana agen mata-mata mengumpulkan dan menyaring data dari ISP serta operator telekomunikasi. “Ini mengaburkan batas antara pengawasan pasif dan intrusi aktual,” kata DeGrippo.
Bagi kelompok peretas FSB ini, tambah DeGrippo, ini juga menunjukkan senjata baru ampuh dalam gudang mereka untuk menarget siapa pun di dalam Rusia. “Ini menunjukkan bagaimana mereka memandang infrastruktur telekomunikasi di Rusia sebagai bagian dari peralatan mereka,” ujarnya.
Menurut peneliti Microsoft, teknik Turla memanfaatkan permintaan web tertentu yang dibuat browser saat menemui “captive portal”—jendela yang umumnya digunakan untuk membatasi akses internet di tempat seperti bandara, pesawat, atau kafe, tapi juga di beberapa perusahaan dan instansi pemerintah. Di Windows, captive portal tersebut terhubung ke situs web Microsoft tertentu untuk memastikan komputer pengguna benar-benar online. (Tidak jelas apakah captive portal yang digunakan untuk meretas korban Turla memang sah biasa dipakai oleh kedutaan target atau dipaksakan Turla sebagai bagian dari teknik peretasannya.)
Dengan memanfaatkan kendali atas ISP yang menghubungkan staf kedutaan asing ke internet, Turla bisa mengalihkan target sehingga mereka melihat pesan kesalahan yang meminta mereka mengunduh pembaruan sertifikat kriptografi browser sebelum bisa mengakses web. Ketika pengguna yang tak curiga menyetujui, mereka malah menginstal malware yang disebut Microsoft sebagai ApolloShadow, yang disamarkan—agak tak masuk akal—sebagai pembaruan keamanan Kaspersky.
Malware ApolloShadow itu kemudian pada dasarnya menonaktifkan enkripsi browser, diam-diam menghilangkan perlindungan kriptografi untuk semua data web yang dikirim dan diterima komputer. Pemalsuan sertifikat yang relatif sederhana ini, kata DeGrippo, mungkin dimaksudkan agar lebih sulit dideteksi dibanding spyware lengkap, meski hasilnya sama.