Telset.id, Jakarta – Baru-baru ini Kaspersky Lab menerbitkan hasil penyelidikan, selama lebih dari setahun, terhadap aktivitas Lazarus – sebuah kelompok hacker terkenal yang diduga bertanggung jawab atas pencurian 81 juta dolar dari Bank Sentral Bangladesh pada tahun 2016.
Selama analisis forensik dari jejak-jejak yang ditinggalkan oleh kelompok ini di perbankan Asia Tenggara dan Eropa, Kaspersky Lab mendapatkan pemahaman yang mendalam tentang peralatan berbahaya apa saja yang kelompok ini pergunakan serta bagaimana cara mereka beroperasi ketika menyerang lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi dan perusahaan mata uang kripto di seluruh dunia.
Pengetahuan ini setidaknya berhasil membantu menggagalkan dua operasi lain yang memiliki tujuan yang sama yaitu untuk mencuri sejumlah besar uang dari lembaga keuangan.
Berdasarkan hasil analisis forensik terhadap serangan ini, peneliti Kaspersky Lab mampu merekonstruksi modus operandi kelompok Lazarus:
- Awal Peretasan: Sebuah sistem tunggal dalam bank diretas dengan menggunakan kerentanan kode yang dapat diakses dari jarak jauh (pada webserver) atau melalui serangan watering hole melalui exploit yang ditanam pada situs tidak berbahaya. Setelah situs tersebut dikunjungi, komputer korban (karyawan bank) terkena malware, yang membawa komponen tambahan.
- Mendirikan Fondasi Serangan: Kemudian kelompok berpindah ke host Bank lainnya dan menyebarkan backdoors yang gigih – malware tersebut memungkinkan kelempok untuk datang dan pergi kapan pun mereka inginkan.
- Pengintaian Internal: Selanjutnya kelompok menghabiskan berhari-hari bahkan minggu untuk mempelajari jaringan, dan mengidentifikasi sumber daya berharga. Salah satu sumber daya tersebut dapat menjadi server cadangan, di mana informasi mengenai otentikasi disimpan, server mail atau keseluruhan domain controller dengan kunci untuk setiap “pintu” di perusahaan, serta server penyimpanan atau catatan pengolahan transaksi keuangan.
- Menyebarkan dan Mencuri: Akhirnya, mereka menyebarkan malware khusus yang mampu melewati fitur keamanan internal dari perangkat lunak keuangan kemudian mencairkan transaksi keuangan tidak resmi atas nama bank.
Menurut catatan Kaspersky Lab, dari Desember 2015, sampel malware yang berhubungan dengan kegiatan kelompok Lazarus muncul di lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi dan perusahaan mata uang kripto di Korea, Bangladesh, India, Vietnam, Indonesia, Kosta Rika, Malaysia, Polandia , Irak, Ethiopia, Kenya, Nigeria, Uruguay, Gabon, Thailand dan beberapa negara lainnya. Sampel terbaru yang diketahui Kaspersky Lab terdeteksi pada Maret 2017, menunjukkan bahwa penyerang tidak punya niat untuk berhenti.
Meskipun penyerang cukup berhati-hati dalam menghapus jejak mereka, setidaknya ada satu server yang mereka retas untuk serangan lain terdapat kesalahan serius dengan jejak penting yang tertinggal. Dalam persiapan operasi, server dikonfigurasi sebagai command & control center untuk malware. Koneksi pertama kali yang dibuat pada hari konfigurasi datang dari beberapa VPN/ server proxy yang menunjukkan periode pengujian bagi C & C server. Namun, ada satu koneksi singkat pada hari itu yang datang dari sebuah alamat IP sangat langka di Korea Utara.
Menurut peneliti, hal ini bisa berarti beberapa hal:
- Para penyerang terhubung dari alamat IP tersebut di Korea Utara
- Operasi pengalihan palsu dari orang lain yang direncanakan dengan hati-hati
- Seseorang di Korea Utara sengaja mengunjungi URL dari command and control
Kelompok Lazarus banyak berinvestasi dalam mengembangkan varian terbaru dari malware mereka. Selama berbulan-bulan mereka mencoba untuk membuat sebuah toolset berbahaya yang tidak akan terlihat oleh solusi keamanan, tapi setiap kali mereka melakukan ini, spesialis Kaspersky Lab berhasil mengidentifikasi fitur unik dalam cara mereka membuat kode, yang memungkinkan Kaspersky Lab untuk terus melacak sampel terbaru. Sekarang, para penyerang sepertinya relatif tenang, yang mungkin berarti bahwa mereka berhenti sejenak untuk mengatur ulang gudang persenjataan mereka.
“Kami yakin mereka akan segera kembali. Kesimpulannya, serangan seperti yang dilakukan oleh kelompok Lazarus menunjukkan bahwa kesalahan konfigurasi yang kecil sekalipun dapat mengakibatkan peretasan keamanan utama, yang berpotensi dapat menyebabkan perusahaan yang ditargetkan mengalami kerugian ratusan juta dolar. Kami berharap bahwa kepala eksekutif dari perbankan, kasino dan perusahaan investasi di seluruh dunia menjadi waspada ketika mendengar nama Lazarus,” ujar Vitaly Kamluk, Head of Global Research and Analysis Team APAC di Kaspersky Lab. (MS)