Hacker Penyerang Apple dan Microsoft Kembali Beraksi

Kelompok Hacker yang dikenal dengan nama Wild Neutron atau Jripbot dan Morpho kembali beraksi.

oleh Iskandar diperbarui 09 Jul 2015, 17:38 WIB
Hacker (culturedigitally.org)

Liputan6.com, Jakarta - Kelompok Hacker yang dikenal dengan nama Wild Neutron atau Jripbot dan Morpho kembali beraksi. Pada 2013, mereka menyerang beberapa perusahaan ternama seperti Apple, Facebook, Twitter dan Microsoft.

Kemudian mereka sempat menghilang, kemudian di akhir2013 dan awal 2014, serangan tersebut kembali muncul dan terus berlangsung hingga 2015.

Dalam hal ini Wild Neutron menggunakan sertifikat kode verifikasi sah hasil curian dan eksploitasi Flash Player yang tidak diketahui untuk menginfeksi perusahaan dan pengguna pribadi di seluruh dunia dan mencuri informasi bisnis sensitif.

Peneliti Kaspersky Lab mengidentifikasi target dari Wild Neutron di 11 negara, termasuk Prancis, Rusia, Swiss, Jerman, Austria, Palestina, Slovenia, Kazakhstan, UEA, Aljazair, dan Amerika Serikat.

Adapun perusahaan yang diserang adalah kantor pengacara, perusahaan terkait dengan Bitcoin, perusahaan investasi, kelompok perusahaan besar yang sering terlibat dalam transaksi merger dan akuisisi, perusahaan TI, perusahaan kesehatan, perusahaan properti, dan perseorangan.

Fokus serangan menunjukkan bahwa ini bukanlah aktor yang disponsori oleh suatu negara. Namun, penggunaan zero-days, multi-platform malware serta teknik lainnya membuat peneliti Kaspersky Lab percaya bahwa serangan ini didalangi oleh entitas yang cukup kuat untuk terlibat dalam spionase, mungkin dikarenakan alasan ekonomi.


Karakter serangan

Karakter serangan

Namun vektor infeksi awal dari serangan masih belum diketahui, meskipun ada indikasi jelas bahwa korban dieksploitasi oleh kit yang memanfaatkan eksploitasi Flash Player tidak diketahui melalui website yang berhasil diretas. Pelaku eksploitasi kemudian memasukkan paket malware dropper ke korban.

Dalam serangan yang diamati oleh peneliti Kaspersky Lab, terlihat bahwa dropper tersebut digunakan dengan sertifikat kode verifikasi yang sah. Penggunaan sertifikat ini memungkinkan malware untuk menghindari deteksi dari beberapa solusi perlindungan.

Sertifikat yang digunakan dalam serangan Wild Neutron tampaknya dicuri dari produsen elektronik konsumen yang ternama. Sertifikat ini sekarang sedang ditarik kembali. Setelah berhasil masuk ke dalam sistem, dropper kemudian menginstal backdoor utama.

Dalam hal fungsi, backdoor utama adalah tidak begitu berbeda dengan kebanyakan Remote Access Tools (RATs). Yang benar-benar menonjol adalah pemikiran penyerang untuk menyembunyikan alamat dan kemampuan command and control server (C & C) untuk pulih ketika C & C dimatikan.

C & C merupakan bagian penting dari infrastruktur berbahaya karena berfungsi sebagai "homebase" bagi malware yang digunakan pada mesin korban. Langkah-langkah khusus dibangun dalam malware untuk membantu penyerang melindungi infrastruktur dari kemungkinan C & C dimatikan.


Masih misteri

Masih misteri

Asal-usul dari penyerang hingga kini masih misteri. Dalam beberapa sampel, konfigurasi terenkripsi termasuk "La revedere" string ("Selamat Tinggal" dalam bahasa Rumania) untuk menandai berakhirnya komunikasi C & C.

Selain itu, peneliti Kaspersky Lab telah menemukan string lain yang non-Inggris dan merupakan transkripsi Latin dari kata Rusia "Успешно" ("uspeshno" -> "berhasil").

"Wild Neutron adalah sebuah kelompok yang terampil dan dapat dengan mudah beradaptasi. Aktif sejak 2011, dan telah memanfaatkan setidaknya satu eksploitasi zero-day, malware dan alat yang di kustom untuk Windows dan OS X," kata Costin Raiu, Director Global Research and Analysis Team at Kaspersky Lab, melalui keterangan resminya.

Di masa lalu, lanjut Raiu, kelompok tersebut telah menyerang beberapa perusahaan terkemuka di dunia dan berhasil menjaga diri mereka untuk tetap di bawah radar dengan melakukan keamanan operasional yang solid dan sejauh ini berhasil menghindari sebagian besar upaya atribusi.

Kaspersky Lab mengklaim telah berhasil mendeteksi dan memblokir malware yang digunakan oleh aktor ancaman Wild Neutron dengan nama deteksi Trojan.Win32.WildNeutron.gen, Trojan.Win32.WildNeutron.*, Trojan.Win32.JripBot.*, dan Trojan.Win32.Generic.

(isk/dhi)

POPULER

Berita Terkini Selengkapnya