Telko.id – Lembaga keuangan dan perbankan tampaknya perlu lebih berhati-hati dalam mengamankan asetnya. Pasalnya, sejumlah penjahat siber yang mulai mengadopsi alat serta taktik dari kelompok APTs (advanced persistent threats) yang didukung oleh negara untuk merampok bank disebut-sebut telah muncul. Adapun ketiga kelompok dengan gaya yang sama ini adalah Carbanak 2.0, Metel dan GCMAN.
Ketiga kelompok hacker ini menyerang organisasi keuangan menggunakan gaya pengintaian secara terselubung, malware yang dimodifikasi khusus, perangkat lunak resmi serta penggunaan cara-cara baru dan inovatif untuk mencuri uang.
Kelompok hacker Metel memiliki banyak trik, tetapi yang membuatnya sangat menarik karena pola serangan yang sangat pintar, yakni dengan mendapatkan kontrol atas mesin dalam bank yang memiliki akses ke transaksi uang (misalnya komputer call center/support). Kelompok ini dapat mengotomatisasi rollback dari transaksi ATM.
Kemampuan rollback memastikan bahwa saldo pada kartu debit tetap sama terlepas dari jumlah transaksi ATM yang dilakukan. Dalam contoh yang diamati sampai saat ini, kelompok hacker ini mencuri uang dengan berkeliling kota di Rusia pada malam hari dan mengosongkan mesin ATM milik sejumlah bank, berulang kali menggunakan kartu debit yang sama yang dikeluarkan oleh bank yang telah diretas. Dalam waktu satu malam saja mereka berhasil membawa kabur sejumlah besar uang.
“Saat ini, fase aktif dari serangan siber semakin singkat. Ketika para penjahat siber ini sangat terampil dalam operasi tertentu, maka mereka hanya membutuhkan beberapa hari atau minggu saja untuk mengambil apa yang mereka inginkan kemudian melarikan diri,” ungkap Sergey Golovanov, Principal Security Researcher at Global Research & Analysis Team, Kaspersky Lab dalam keterangan resminya.
Selama penyelidikan forensik, para ahli Kaspersky Lab menemukan bahwa aktor di belakang kelompok Metel mencapai infeksi awal mereka melalui email spear-phishing yang dibuat secara khusus dengan lampiran berbahaya, dan menggunakan exploit pack Niteris, menargetkan kerentanan dalam browser korban. Setelah berada di dalam jaringan, penjahat siber menggunakan alat yang resmi dan lolos tes penetrasi untuk dapat bergerak secara lateral, membajak pengontrol domain lokal dan akhirnya mencari dan mendapatkan kontrol atas komputer yang digunakan oleh karyawan bank yang bertanggung jawab untuk pemrosesan kartu pembayaran.
Kelompok Metel masih tetap aktif dan penyelidikan akan aktivitasnya masih terus berlangsung. Sejauh ini tidak ada serangan di luar Rusia yang telah diidentifikasi. Namun, hal ini tetap ada kemungkinan bahwa infeksi ini akan semakin jauh lebih luas lagi dan perbankan di seluruh dunia disarankan untuk secara proaktif memeriksa infeksi ini.
Ketiga kelompok hacker ini diidentifikasi bergeser ke arah penggunaan malware yang disertai dengan perangkat lunak resmi dalam aksi penipuan mereka. Mereka beranggapan mengapa harus membuat banyak malware dan peralatan khusus, jika utilitas resmi bisa sama efektif dan berbahayanya, dan juga jauh lebih sedikit memicu alarm?
Tetapi dalam hal kerahasiaan, para aktor dibelakang kelompok hacker GCMAN bahkan melangkah lebih jauh lagi: kadang-kadang mereka berhasil menyerang sebuah organisasi tanpa menggunakan malware, hanya dengan menggunakan alat resmi dan telah lolos uji penetrasi saja. Dalam kasus yang telah diselidiki oleh ahli Kaspersky Lab, terlihat bahwa kelompok hacker GCMAN menggunakan utilitas Putty, VNC, dan Meterpreter untuk bergerak secara lateral melalui jaringan sampai para penjahat ini mencapai sebuah mesin yang dapat digunakan untuk mentransfer uang ke layanan e-currency tanpa memperingatkan sistem perbankan lainnya.
Dalam satu serangan yang diamati oleh Kaspersky Lab, penjahat siber berada di jaringan selama satu setengah tahun sebelum melakukan pencurian. Pecahan uang yang ditransfer sebesar US$ 200, batas atas untuk pembayaran anonim di Rusia. Setiap menit, CRON scheduler meluncurkan script berbahaya, dan sejumlah uang lainnya dipindahkan ke rekening e-currency milik penjahat siber. Perintah transaksi dikirim langsung ke upstream payment gateway bank dan tidak akan muncul di sistem internal bank lainnya.
Dan yang terakhir, Carbanak 2.0 menandai kemunculan kembali kelompok hacker Carbanak, dengan alat dan teknik yang sama tetapi profil korban yang berbeda dan cara-cara inovatif untuk mencuri uang.
Pada 2015, target Carbanak 2.0 tidak hanya perbankan, tapi departemen penganggaran dan keuangan dari organisasi yang menjadi target mereka. Di salah satu contoh yang diamati oleh Kaspersky Lab, kelompok Carbanak 2.0 ini mengakses lembaga keuangan kemudian melakukan perubahan data-data sah kepemilikan dari sebuah perusahaan besar. Informasi ini dimodifikasi sehingga nama penjahat siber tercantum sebagai pemegang saham perusahaan dan menampilkan informasi mengenai identitas palsu mereka.
“Serangan terhadap lembaga keuangan ditemukan pada tahun 2015 menunjukkan tren yang mengkhawatirkan dari penjahat siber semakin agresif menggunakan serangan bergaya APT. Kelompok Carbanak merupakan yang pertama dari banyak lainnya: penjahat siber sekarang belajar dengan cepat bagaimana menggunakan teknik-teknik terbaru dalam aksi mereka, dan kita melihat lebih banyak dari mereka mulai bergeser dari menyerang pengguna ke menyerang bank secara langsung. logika mereka adalah sederhana: di situlah uang berada,” ujar Sergey Golovanov.
Ia menambahkan, perusahaan ingin menunjukkan bagaimana dan di mana, khususnya, aktor ancaman ini kemungkinan menyerang untuk mendapatkan uang nasabah. Kaspersky Lab berharap bahwa setelah mendengar tentang serangan GCMAN, nasabah akan segera melakukan pemeriksaan mengenai bagaimana server dari perbankan online dilindungi; sedangkan dalam kasus Carbanak, perusahaan menyarankan untuk melindungi database yang berisi informasi tentang pemilik rekening, bukan hanya saldo mereka saja.
“Produk Kaspersky Lab berhasil mendeteksi dan memblokir malware yang digunakan oleh para aktor ancaman Carbanak 2.0, Metel dan GCMAN. Perusahaan juga merilis Indicators of Compromise (IOC) yang sangat penting dan data lainnya untuk membantu organisasi mencari jejak serangan kelompok hacker ini di jaringan perusahaan mereka,” pungkas Golovanov.