Liputan6.com, Jakarta - Kaspersky Lab menemukan serangkaian serangan dengan target 'tak kelihatan' yang hanya menggunakan perangkat lunak sah. Software ini merupakan alat pengujian-penetrasi dan administrasi yang banyak tersedia serta kerangka PowerShell sebagai otomatisasi pada Windows.
Bahayanya, serangan tersebut tidak menginfeksi file malware ke hard drive, namun menyembunyikannya dalam memori. Kombinasi dari dua pendekatan ini mampu menghindari deteksi oleh teknologi yang aksesnya diizinkan oleh sistem computer (whitelisting), sehingga menyebabkan hampir tidak adanya sampel malware yang cukup bagi penyelidik forensik untuk melakukan penyelidikan.
Dalam waktu yang cukup lama, hacker mengumpulkan informasi sebelum jejak mereka dihapus dari sistem pada reboot pertama.
Advertisement
Baca Juga
Pada akhir 2016, ahli Kaspersky Lab dihubungi oleh perbankan di CIS yang menemukan perangkat lunak pengujian-penetrasi, meterpreter--sekarang sering digunakan untuk tujuan jahat--dalam memori dari server mereka ketika tidak seharusnya kedua alat tersebut berada di sana.
Kaspersky Lab menemukan bahwa kode meterpreter dikombinasikan dengan sejumlah skrip PowerShell yang sah dan utilitas lainnya.
Kombinasi keduanya telah diadaptasi ke dalam kode berbahaya yang bisa bersembunyi di memori, tak terlihat, dan mengumpulkan password dari administrator sistem sehingga penyerang jarak jauh bisa mengendalikan sistem korban.
Tujuan utama tampaknya untuk memiliki akses ke proses keuangan. Kaspersky Lab menemukan bahwa serangan ini terjadi dalam skala besar, menyerang lebih dari 140 jaringan perusahaan di berbagai sektor usaha, dengan sebagian besar korban berada di Amerika Serikat, Perancis, Ekuador, Kenya, Inggris, dan Rusia.
Secara total, ada 40 negara yang telah terinfeksi, salah satunya adalah Indonesia. Berikut ini daftar lengkapnya:
Belum diketahui siapa di balik serangan ini. Penggunaan kode eksploitasi open source, utilitas umum Windows, dan domain yang tidak terdekeksi membuat hampir tidak mungkin untuk menentukan kelompok mana yang bertanggung jawab. Apakah mereka merupakan satu kelompok atau beberapa kelompok yang berbagi alat sama?
Kelompok hacker yang dikenal memiliki pendekatan paling serupa adalah GCMAN dan Carbanak. Peralatan tersebut juga mempersulit dalam mengungkapkan rincian dari serangan. Proses normal selama respon insiden adalah pihak penyidik mengikuti jejak dan sampel yang ditinggalkan di jaringan oleh hacker.
Penyerang Masih Aktif
Sementara data-data dalam hard drive dapat tetap tersedia selama satu tahun setelah peristiwa, sampel yang bersembunyi di memori akan dihapus pada reboot pertama komputer. Untungnya, pada kesempatan ini, para ahli berhasil mendapatkannya tepat waktu sebelum terhapus.
"Tekad para penyerang untuk menyembunyikan aktivitas mereka serta membuat deteksi dan respon terhadap insiden menjadi semakin sulit menjelaskan tren terbaru dari teknik anti-forensik dan malware berbasis memori. Itulah sebabnya forensik memori menjadi penting untuk analisis malware dan fungsinya," kata Sergey Golovanov, Principal Security Researcher di Kaspersky Lab melalui email kepada Tekno Liputan6.com, Jumat (10/2/2016).
Dalam insiden ini, lanjut Golovanov, hacker menggunakan setiap teknik anti-forensik yang cukup meyakinkan. Menunjukkan bahwa file tidak ada malware memang diperlukan demi kesuksesan exfiltration data dari jaringan, dan bahwa penggunaan open source dan utilitas yang sah membuat atribusi hampir tidak mungkin.
Para penyerang sampai saat ini masih aktif, sehingga sangat penting untuk dicatat bahwa deteksi serangan seperti itu hanya mungkin dalam RAM, jaringan dan registry.
Oleh karenanya, dalam kasus seperti ini, penggunaan aturan Yara berdasarkan scan file jahat menjadi tidak ada gunanya.
Rincian bagian kedua dari operasi ini, menunjukkan bagaimana para penyerang menerapkan taktik unik untuk menarik uang melalui ATM yang akan dipresentasikan oleh Sergey Golovanov dan Igor Soumenkov di Security Analyst Summit pada 2-6 April 2017.
(Isk/Why)
Advertisement