Liputan6.com, Jakarta - Symantec mengumumkan telah berhasil mengidentifikasi hacker baru yang dijuluki Orangeworm.
Penjahat dunia maya ini menyebarkan backdoor kwampirs yang menyerang sejumlah perusahaan besar yang bergerak di layanan kesehatan di Amerika Serikat, Asia, dan Eropa.
Keberadaan Orangeworm pertama kali diketahui pada Januari 2015. Hacker melancarkan serangan tertarget ke perusahaan industri untuk menyerang rantai pasokan yang lebih besar.
Advertisement
Berdasarkan daftar korban yang terinfeksi, Orangeworm tak memilih targetnya secara acak. Ada kemungkinan kelompok ini memilih targetnya secara hati-hati dan teliti, bahkan melakukan perencanaan yang baik sebelum melakukan penyerangan.
Baca Juga
Menurut telemetri Symantec, hampir 40 persen perusahan yang menjadi korban Orangeworm berasal dari industri kesehatan.
Sebab, malware kwampirs ditemukan pada mesin yang terpasang software untuk mengendalikan dan menggunakan mesin X-Ray atau MRI.
Tak hanya itu, kelompok itu juga memiliki ketertarikan pada mesin yang dipakai pasien mengisi formulir persetujuan untuk beragam prosedur kesehatan. Sayangnya, belum dapat dipastikan motif dari serangan Orangeworm ini.
Dalam keterangan resmi yang diterima Tekno Liputan6.com, Rabu (25/4/2018), kebanyakan korban malware ini berasal dari Amerika Serikat. Kendati demikian, lingkup korban serangan ini di negara lain masih sama, yakni perusahaan berskala internasional.
"Target sekunder dari Orangeworm adalah industri manufaktur, teknologi informasi, pertanian, dan logistik," tulis Syamantec. Meski terlihat tak berhubungan, ternyata perusahaan tersebut memiliki keterkaitan dengan industri kesehatan.
Berdasarkan penelusuran, perusahaan yang menjadi korban adalah produsen perangkat pencitraan medis, perusahaan teknologi informasi yang memberikan layanan pendukung ke klinik medis, dan perusahaan logistik yang biasa mengirim produk layanan kesehatan.
Aktivitas Korban Orangeworm
Lantas, seperti apa cara kerja kelompok peretas ini? Begitu Orangeworm menyusup ke jaringan korban, mereka akan menyebarkan trojan kwampirs. Trojan backdoor ini memberikan penyerang akses jarak jauh ke komputer yang disusupi.
Setelah aktif, kwampirs mendekripsi dan mengekstrak salinan payload DLL utama dari bagian sumber daya. Namun, sebelumnya, trojan ini memasukkan string yang dihasilkan secara acak di tengah-tengah payload untuk menghindari pendeteksian berbasis hash.
Tak hanya itu, kwampirs juga membuat satu layanan dengan konfigurasi tertentu. Langkah ini dilakukan untuk memastikan payload utama dimuat dalam memori saat sistem melakukan reboot.
Backdoor itu akan mengumpulkan beberapa informasi dasar tentang komputer yang disusupi. Sejumlah informasi yang dikumpulkan adalah adapter jaringan dasar, informasi versi sistem, dan pengaturan bahasa.
Ada kemungkinan data itu dikumpulkan untuk mengetahui apakah komputer tersebut merupakan target yang berharga atau tidak. Jika dirasa menarik, selanjutnya trojan itu akan menyalin backdoor di seluruh lini jaringan terbuka untuk menginfeksi komputer lain.
Backdoor tersebut juga dapat menggandakan dirinya ke file-file yang tersembunyi. Dalam tahp ini, para penyerang mengumpulkan informasi tambahan terkait jaringan korban sebanyak mungkin, termasuk informasi terkait komputer yang baru diakses.
Kwampirs memakai cara yang cukup agresif untuk memperbanyak dirinya. Jadi, backdoor ini akan menyalin dirinya melalui network share. Meski terbilang metode lawas, cara ini masih digunakan di lingkungan yang menjalankan sistem operasi lama, seperti Windows XP.
Malware ini juga mengedarkan daftar perintah dan kontrol pada server. Meski daftar itu sangat banyak, tak seluruhnya aktif dan terus memancarkan sinyal hingga koneksi berhasil dilancarkan.
Advertisement
Tak Ada Tanda Orangeworm Didanai oleh Suatu Negara
Kendati memodifikasi sebagian kecil dirinya saat menyalin diri, operator tak berusaha mengubah protokol komunikasi sejak infeksi awal. Karenanya, besar kemungkinan Orangeworm tak begitu peduli apabila serangannya diketahui.
Meski Orangeworm dikenal sudah aktif melancarkan serangan dalam beberapa tahun terakhir, tak ada tanda-tanda bahwa aksi kelompok ini didanai oleh suatu negara tertentu.
Kemungkinan besar aksi ini dilakukan oleh individu atau kelompok kecil hacker. Namun, saat ini belum ada indikator teknis atau operasional untuk memastikan asal dari kelompok tersebut.
Terkait serangan ini, Symantec juga telah berupaya untuk menginformasikan jika ada indikasi serangan Orangeworm. Akan tetapi, pelanggan dengan intelligence services atau produk yang didukung Webfilter disebut telah terlindungi dari aktivitas malware tersebut.
(Dam/Jek)
Saksikan Video Pilihan Berikut Ini:Â