Sunday, October 20, 2019
Home News 40 Negara Diretas Kelompok Hacker Lewat Serangan “Misterius”

40 Negara Diretas Kelompok Hacker Lewat Serangan “Misterius”

-

IMG_20170211_215410​Jakarta, Selular.ID – Para ahli Kaspersky Lab menemukan serangkaian serangan bertarget “tak kelihatan” meskipun telah menggunakan perangkat lunak yang resmi. Serangan ini terjadi dalam skala besar: menyerang lebih dari 140 jaringan perusahaan di berbagai sektor usaha, dengan sebagian besar korban berada di Amerika Serikat, Perancis, Ekuador, Kenya, Inggris dan Rusia. Secara total, ada 40 negara yang telah terinfeksi.

Serangan tersebut tidak menginfeksi file malware ke hard drive, namun menyembunyikannya dalam memori. Kombinasi dari dua pendekatan ini membantu untuk menghindari deteksi oleh teknologi yang aksesnya diijinkan oleh sistem computer (whitelisting), sehingga menyebabkan hampir tidak adanya sampel malware yang cukup bagi penyelidik forensik untuk melakukan penyelidikan. Para penyerang tinggal diam dalam waktu yang cukup lama untuk mengumpulkan informasi sebelum jejak mereka dihapus dari sistem pada reboot pertama.

Pada akhir 2016, ahli Kaspersky Lab dihubungi oleh perbankan di CIS yang menemukan perangkat lunak pengujian-penetrasi, meterpreter, sekarang sering digunakan untuk tujuan jahat, dalam memori dari server mereka ketika tidak seharusnya kedua alat tersebut berada di sana. Kaspersky Lab menemukan bahwa kode meterpreter dikombinasikan dengan sejumlah skrip PowerShell yang sah dan utilitas lainnya. Kombinasi keduanya telah diadaptasi ke dalam kode berbahaya yang bisa bersembunyi di memori, secara tak terlihat dan mengumpulkan password dari administrator sistem sehingga penyerang jarak jauh bisa mengendalikan sistem korban. Tujuan utama tampaknya untuk memiliki akses ke proses keuangan.

Tidak diketahui siapa di balik serangan ini. Penggunaan kode eksploitasi open source, utilitas umum Windows dan domain yang tidak diketahui membuat hampir tidak mungkin untuk menentukan kelompok mana yang bertanggung jawab – atau bahkan apakah mereka merupakan satu kelompok atau beberapa kelompok yang berbagi alat yang sama. Kelompok hacker yang dikenal memiliki pendekatan paling serupa adalah GCMAN dan Carbanak.

Peralatan tersebut juga mempersulit dalam mengungkapkan rincian dari serangan. Proses normal selama respon insiden adalah pihak penyidik mengikuti jejak dan sampel yang ditinggalkan di jaringan oleh penyerang. Sementara data-data dalam hard drive dapat tetap tersedia selama satu tahun setelah peristiwa, sampel yang bersembunyi di memori akan dihapus pada reboot pertama komputer. Untungnya, pada kesempatan ini, para ahli berhasil mendapatkannya tepat waktu sebelum terhapus.

“Tekad para penyerang untuk menyembunyikan aktivitas mereka serta membuat deteksi dan respon terhadap insiden menjadi semakin sulit menjelaskan tren terbaru dari teknik anti-forensik dan malware berbasis memori. Itulah sebabnya forensik memori menjadi penting untuk analisis malware dan fungsinya. Dalam insiden khusus ini, penyerang menggunakan setiap teknik anti-forensik yang cukup meyakinkan; menunjukkan bahwa file tidak adamalware memang diperlukan demi kesuksesan exfiltration data dari jaringan, dan bahwa penggunaan open source dan utilitas yang sah membuat atribusi hampir tidak mungkin,” kata Sergey Golovanov, Principal Security Researcher di Kaspersky Lab.

Para penyerang sampai saat ini masih aktif, sehingga sangat penting untuk dicatat bahwa deteksi serangan seperti itu hanya mungkin dalam RAM, jaringan dan registry – oleh karenanya, dalam kasus seperti ini, penggunaan aturan Yara berdasarkan scan file jahat menjadi tidak ada gunanya.

Rincian bagian kedua dari operasi ini, menurut Sergey menunjukkan bagaimana para penyerang menerapkan taktik unik untuk menarik uang melalui ATM.

Latest