Grup peretas asal Rusia yang dikenal dengan nama Secret Blizzard dilaporkan telah mengembangkan backdoor legendaris mereka, Kazuar, menjadi sebuah jaringan botnet peer-to-peer (P2P) berbasis modular. Transformasi ini dirancang khusus untuk mempertahankan persistensi jangka panjang, menyamarkan jejak dari deteksi keamanan (stealth), serta menguras data sensitif secara masif.
Secret Blizzard—yang aktivitasnya beririsan erat dengan kelompok spionase siber terkenal seperti Turla, Uroburos, dan Venomous Bear—memiliki rekam jejak panjang yang berafiliasi dengan dinas intelijen Rusia (FSB). Target utama mereka meliputi organisasi pemerintahan, lembaga diplomatik, industri pertahanan, serta infrastruktur kritis di seluruh Eropa, Asia, dan Ukraina.
Arsitektur Baru: Sistem Tiga Komponen Utama
Berdasarkan analisis mendalam dari tim peneliti keamanan Microsoft, varian terbaru Kazuar kini beroperasi menggunakan arsitektur mutakhir yang membagi beban kerja ke dalam tiga modul terpisah:
1. Modul Kernel (Sang Koordinator)
Ini adalah pusat kendali lokal dari malware. Modul ini bertugas mengatur jalannya tugas, mengontrol modul lainnya, melakukan komunikasi internal, serta yang paling krusial: memilih sistem “Pemimpin” (Leader) di dalam jaringan lokal yang terinfeksi.
- Sistem Pemimpin (Leader System): Hanya ada satu komputer terinfeksi di dalam satu segmen jaringan yang ditunjuk sebagai pemimpin untuk berkomunikasi langsung dengan server Command and Control (C2) eksternal.
- Mode Senyap (Silent Mode): Komputer terinfeksi lainnya (non-leader) akan masuk ke mode senyap dan tidak memicu lalu lintas internet keluar. Mereka hanya menerima perintah dari Leader. Strategi ini secara drastis memperkecil volume lalu lintas eksternal yang mencurigakan sehingga sulit dideteksi oleh tim pertahanan jaringan. Pemilihan pemimpin dilakukan secara otomatis berdasarkan uptime sistem, frekuensi reboot, dan jumlah interupsi.
2. Modul Bridge (Proksi Komunikasi)
Modul ini bertindak sebagai perantara komunikasi eksternal. Bridge bertugas meneruskan data dari Kernel Leader ke infrastruktur C2 jarak jauh penyerang menggunakan protokol standar seperti HTTP, WebSockets, atau bahkan memanfaatkan Exchange Web Services (EWS) agar lalu lintasnya tersamarkan sebagai aktivitas email normal.
Untuk komunikasi internal antar-perangkat yang terinfeksi di jaringan lokal, Kazuar memanfaatkan fitur bawaan Windows seperti Windows Messaging, Mailslots, dan Named Pipes. Seluruh pesan dienkripsi menggunakan algoritma AES dan diserialisasi menggunakan Google Protocol Buffers (Protobuf) agar menyatu dengan derau (noise) operasional sistem sehari-hari.
3. Modul Worker (Eksekutor Spionase)
Modul inilah yang melakukan aktivitas mata-mata di perangkat korban. Kemampuannya meliputi:
- Merekam ketukan papan ketik (keylogging) dan mengambil tangkapan layar (screenshot).
- Melakukan pemindaian dan pengintaian sistem serta topologi jaringan lokal.
- Menguras data email/MAPI (termasuk mengunduh lampiran Outlook).
- Mencuri file-file yang baru saja dibuka atau dimodifikasi oleh pengguna.
Semua data yang berhasil dijarah akan dienkripsi, dikumpulkan sementara di folder lokal (staging), dan ditransfer keluar secara berkala melalui modul Bridge.
Fleksibilitas Tinggi dan Fitur Bypass Keamanan
Microsoft menggarisbawahi bahwa Kazuar kini dibekali dengan 150 opsi konfigurasi yang dapat dikendalikan dari jarak jauh oleh operatornya. Opsi ini memungkinkan pelaku mengatur penjadwalan tugas, membatasi ukuran bongkahan data yang dieksfritasi (exfiltration chunks), hingga melakukan injeksi proses ke aplikasi legal.
Selain itu, untuk menghindari deteksi dari solusi antivirus modern, Kazuar dilengkapi dengan kemampuan melumpuhkan fitur keamanan bawaan Windows, termasuk:
- AMSI Bypass (Antimalware Scan Interface)
- ETW Bypass (Event Tracing for Windows)
- WLDP Bypass (Windows Lockdown Policy)
Rekomendasi Pertahanan
Mengingat sifat Kazuar yang sangat modular dan fleksibel, pendekatan keamanan konvensional yang hanya mengandalkan pencocokan tanda tanda digital statis (static signature) dipastikan tidak akan efektif.
Microsoft merekomendasikan perusahaan dan pengelola IT untuk beralih atau memperkuat sistem deteksi berbasis perilaku (behavioral detection / EDR) untuk menangkap anomali pada komunikasi antar-proses (IPC) internal serta aktivitas modifikasi kebijakan keamanan yang tidak sah di dalam jaringan.