Laman

Selasa, 04 April 2017

Indonesia Target Serangan Kelompok Peretas Lazarus

Indonesia Target Serangan Kelompok Peretas Lazarus

KASPERSKY Lab baru saja menerbitkan hasil penyelidikan yang mereka lakukan selama lebih dari setahun terhadap aktivitas Lazarus, sebuah kelompok peretas terkenal yang diduga bertanggung jawab atas pencurian US$81 juta dari Bank Sentral Bangladesh pada 2016 lalu.

Selama analisis forensik dari jejak-jejak yang ditinggalkan oleh kelompok ini di perbankan Asia Tenggara dan Eropa, Kaspersky Lab mendapatkan pemahaman yang mendalam tentang peralatan berbahaya apa saja yang kelompok ini pergunakan serta bagaimana cara mereka beroperasi ketika menyerang lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi, dan perusahaan mata uang kripto di seluruh dunia.

Pengetahuan ini setidaknya berhasil membantu menggagalkan dua operasi lain yang memiliki tujuan yang sama yaitu untuk mencuri sejumlah besar uang dari lembaga keuangan.

Pada bulan Februari 2016, sekelompok peretas (tak dikenal pada waktu itu) berusaha untuk mencuri US$851 juta dan berhasil mentransfer US$81 juta dari Bank Sentral Bangladesh. Insiden ini dianggap sebagai salah satu aksi perampokan di dunia maya yang terbesar dan paling sukses yang pernah terjadi.

Penyelidikan lebih lanjut dilakukan oleh para peneliti dari sejumlah perusahaan keamanan IT, termasuk Kaspersky Lab, untuk mengungkapkan kemungkinan besar bahwa serangan itu dilakukan oleh Lazarus, sebuah kelompok spionase dan sabotase cyber ternama yang bertanggung jawab atas serangkaian serangan rutin dan membawa kehancuran.

Kelompok ini mulai dikenal karena menyerang perusahaan manufaktur, media dan lembaga keuangan di setidaknya 18 negara di seluruh dunia sejak tahun 2009.



Meskipun disusul dengan keheningan aktivitas selama beberapa bulan setelah serangan di Bangladesh, kelompok Lazarus masih tetap aktif. Mereka mempersiapkan diri untuk operasi baru selanjutnya, yaitu mencuri uang dari bank-bank lain, dan pada saat mereka sudah siap, mereka kemudian mulai menyerang berbagai lembaga keuangan di Asia Tenggara.

Meski demikian, aksi mereka ini terhalang oleh perlindungan dari produk Kaspersky Lab dan penyelidikan yang dilakukan oleh perusahaan. Mereka pun memilih untuk mundur selama beberapa bulan, kemudian memutuskan untuk mengubah operasi mereka dengan berpindah ke Eropa.

Tapi di sini juga, upaya mereka terganggu oleh pendeteksian dari perangkat lunak keamanan Kaspersky Lab, serta respon atas insiden yang cepat, analisis forensik, dan reverse engineering dengan dukungan dari peneliti ternama dari perusahaan.

Modus Operasi Lazarus

Berdasarkan hasil analisis forensik terhadap serangan ini, peneliti Kaspersky Lab mampu merekonstruksi modus operandi kelompok Lazarus:

- Awal Peretasan: Sebuah sistem tunggal dalam bank diretas dengan menggunakan kerentanan kode yang dapat diakses dari jarak jauh (pada webserver) atau melalui serangan watering hole melalui exploit yang ditanam pada situs tidak berbahaya. Setelah situs tersebut dikunjungi, komputer korban (karyawan bank) terkena malware, yang membawa komponen tambahan.

- Mendirikan Fondasi Serangan: Kemudian kelompok berpindah ke host Bank lainnya dan menyebarkan backdoors yang gigih. Malware tersebut memungkinkan kelempok untuk datang dan pergi kapan pun mereka inginkan.

- Pengintaian Internal: Selanjutnya kelompok menghabiskan berhari-hari bahkan berminggu-minggu untuk mempelajari jaringan, dan mengidentifikasi sumber daya berharga. Salah satu sumber daya tersebut dapat menjadi server cadangan, di mana informasi mengenai otentikasi disimpan, server mail atau keseluruhan domain controller dengan kunci untuk setiap 'pintu' di perusahaan, serta server penyimpanan atau catatan pengolahan transaksi keuangan.

- Menyebarkan dan Mencuri: Akhirnya, mereka menyebarkan malware khusus yang mampu melewati fitur keamanan internal dari perangkat lunak keuangan kemudian mencairkan transaksi keuangan tidak resmi atas nama bank.



Geografi dan Atribusi

Serangan ini diselidiki oleh para peneliti Kaspersky Lab yang berlangsung selama berminggu-minggu. Namun, para penyerang mampu beroperasi di bawah radar selama berbulan-bulan.

Sebagai contoh, selama analisis insiden di Asia Tenggara, para ahli menemukan bahwa kelompok peretas ini mampu meretas jaringan bank setidaknya tujuh bulan sebelum diketahui tim keamanan bank dan kemudian meminta adanya respon atas insiden.

Yang mengejutkan, kelompok tersebut telah memiliki akses ke jaringan perbankan di Asia Tenggara bahkan sebelum hari dimana insiden Bangladesh terjadi.

Menurut catatan Kaspersky Lab, dari Desember 2015, sampel malware yang berhubungan dengan kegiatan kelompok Lazarus muncul di lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi dan perusahaan mata uang kripto di Korea Selatan, Bangladesh, India, Vietnam, Indonesia, Kosta Rika, Malaysia, Polandia, Irak, Ethiopia, Kenya, Nigeria, Uruguay, Gabon, Thailand, dan beberapa negara lainnya.



Sampel terbaru yang diketahui Kaspersky Lab terdeteksi pada Maret 2017, menunjukkan bahwa penyerang tidak punya niat untuk berhenti.

Meskipun penyerang cukup berhati-hati dalam menghapus jejak, setidaknya ada satu server yang mereka retas untuk serangan lain terdapat kesalahan serius dengan jejak penting yang tertinggal.

Dalam persiapan operasi, server dikonfigurasi sebagai command & control center untuk malware. Koneksi pertama kali yang dibuat pada hari konfigurasi datang dari beberapa VPN/ server proxy yang menunjukkan periode pengujian bagi C&C server. Namun, ada satu koneksi singkat pada hari itu yang datang dari sebuah alamat IP sangat langka di Korea Utara.

Menurut peneliti, hal ini bisa berarti beberapa hal, yakni:

- Para penyerang terhubung dari alamat IP tersebut di Korea Utara
- Operasi pengalihan palsu dari orang lain yang direncanakan dengan hati-hati
- Seseorang di Korea Utara sengaja mengunjungi URL dari command and control

Kelompok Lazarus banyak berinvestasi dalam mengembangkan varian terbaru dari malware mereka. Selama berbulan-bulan mereka mencoba untuk membuat sebuah toolset berbahaya yang tidak akan terlihat oleh solusi keamanan.

Tapi setiap kali mereka melakukan ini, spesialis Kaspersky Lab berhasil mengidentifikasi fitur unik dalam cara mereka membuat kode, yang memungkinkan Kaspersky Lab untuk terus melacak sampel terbaru.

Sekarang, para penyerang sepertinya relatif tenang, yang mungkin berarti bahwa mereka berhenti sejenak untuk mengatur ulang gudang persenjataan mereka.

"Kami yakin mereka akan segera kembali. Kesimpulannya, serangan seperti yang dilakukan oleh kelompok Lazarus menunjukkan bahwa kesalahan konfigurasi yang kecil sekalipun dapat mengakibatkan peretasan keamanan utama, yang berpotensi dapat menyebabkan perusahaan yang ditargetkan mengalami kerugian ratusan juta US dolar," ujar Vitaly Kamluk, Head of Global Research and Analysis Team APAC di Kaspersky Lab.

"Kami berharap bahwa kepala eksekutif dari perbankan, kasino dan perusahaan investasi di seluruh dunia menjadi waspada ketika mendengar nama Lazarus," imbuhnya.

Pihak Kaspersky Lab mendesak semua organisasi untuk hati-hati memindai jaringan mereka atas kehadiran sampel malware Lazarus, dan jika terdeteksi, untuk mendisinfeksi sistem mereka dan melaporkan intrusi untuk penegakan hukum dan tim respon insiden.

Untuk mempelajari lebih lanjut tentang serangan keuangan oleh kelompok Lazarus, dapat langsung membaca posting blog yang tersedia di tautan berikut ini.



Tidak ada komentar:

Posting Komentar