Telset.id, JAKARTA – Serangan malware kini semakin canggih. Pasalnya, periset keamanan di Kaspersky Lab telah menemukan apa yang mungkin merupakan strain malware “yang disponsori negara bagian” lebih maju dari sebelumnya.
Malware ini dijuluki Slingshot, kode ini memata-matai PC melalui serangan multi-layer yang menargetkan router MikroTik.
Bagaimana serangan malware ini beroperasi? Seperti dilansir halaman Engagdet, pertama kali malware menggantikan file library dengan versi jahat yang mendownload komponen berbahaya lainnya. Kemudian dia meluncurkan serangan dua cabang yang cerdas ke komputer itu sendiri.
Satu, Canhadr, menjalankan kode kernel tingkat rendah yang secara efektif memberi penyusup kebebasan, termasuk akses ke penyimpanan dan memori.
Sedangkan yang lain, GollumApp, fokus pada tingkat pengguna dan menyertakan kode untuk mengkoordinasikan usaha, mengelola sistem file dan menjaga malware tetap hidup.
Bahkan Kaspersky menggambarkan kedua elemen ini sebagai “karya besar” dan untuk alasan yang bagus. Pertama, tidak berarti mahir menjalankan kode kernel yang tidak bersahabat tanpa crash.
Slingshot juga menyimpan file malware-nya dalam sistem file virtual terenkripsi, mengenkripsi setiap string teks dalam modulnya, memanggil layanan secara langsung (untuk menghindari terganjal pemeriksaan perangkat lunak keamanan) dan bahkan mematikan komponen saat alat forensik aktif.
[Baca juga: Duh! Telegram Disusupi Malware Bitcoin Mining]
Jika ada metode umum untuk mendeteksi serangan malware atau mengidentifikasi perilakunya, Slingshot kemungkinan memiliki pertahanan untuk melawannya. Tidak mengherankan jika kode ini telah aktif setidaknya sejak 2012, dan tidak ada yang tahu itu ada di sana.
Malware ini dapat mencuri secara efektif apa pun yang diinginkannya, termasuk goresan keyboard, lalu lintas jaringan, kata sandi dan tangkapan layar.
Belum diketahui pasti bagaimana Slingshot masuk ke sistem selain memanfaatkan perangkat lunak manajemen router, namun Kaspersky menunjuk beberapa contoh.
Kombinasi dari kecanggihan ini dengan fokus mata-mata membuat Kaspersky percaya bahwa kemungkinan ini diciptakan lembaga negara, ini menyaingi malware Regin GCHQ yang biasa memata-matai kapal induk Belgia Belgacom.
Walaupun teks memberi petunjuk pihak yang bertanggung jawab adalah orang yang berbahasa Inggris, namun pelakunya tidak jelas. Katakan saja ada 100 individu, pemerintah dan institusi menjadi korban Slingshot di negara-negara termasuk Afghanistan, Irak, Yordania, Kenya, Libya dan Turki.
Ini bisa menjadi salah satu dari lima negara (Australia, Kanada, Selandia Baru, Inggris dan Amerika Serikat) yang mengawasi negara-negara dengan isu terorisme yang signifikan, tapi itu sangat belum pasti. [WS/HBS]
Slingshot harus diperbaiki seperti halnya update firmware router MikroTik terbaru. Kemungkinannya pembuat router lain ikut terpengaruh. Jika memang begitu, ada kemungkinan Slingshot memiliki jangkauan yang jauh lebih luas dan masih mengambil data sensitif. [WS/HBS]
