Telko.id – Berkolaborasi dengan Novetta dan mitra lainnya, Kaspersky Lab baru-baru ini mengumumkan kontribusinya terhadap Operasi Blockbuster. Tujuan dari operasi ini adalah untuk menghentikan aktivitas kelompok Lazarus – sebuah entitas yang sangat berbahaya dan bertanggung jawab atas kerusakan data serta aksi spionase siber konvensional terhadap beberapa perusahaan di seluruh dunia.
Para penjahat siber ini diyakini menjadi dalang di balik serangan terhadap Sony Pictures Entertainment pada tahun 2014, serta operasi DarkSeoul yang menargetkan media dan lembaga keuangan di tahun 2013.
Setelah serangan yang sangat merusak terhadap perusahaan produksi film terkenal, Sony Pictures Entertainment (SPE) pada tahun 2014, Global Research and Analysis Team (GReAT) dari Kaspersky Lab mulai melakukan penyelidikan atas sampel malware Destover yang digunakan dalam serangan itu. Hal ini mengarah ke penelitian yang lebih luas lagi yaitu ke kelompok yang terkait aksi spionase siber dan sabotase siber yang menargetkan diantaranya lembaga keuangan, media, dan perusahaan manufaktur.
Berdasarkan karakteristik umum dari kelompok malware yang berbeda-beda, para ahli perusahaan berhasil mengelompokkan puluhan serangan terisolasi dan menentukan bahwa mereka semua berasal dari satu pelaku ancaman, para anggota lainnya dalam Operasi Blockbuster ini juga mengkonfirmasikan hal serupa menurut analisia mereka masing-masing.
Kelompok hacker Lazarus sampai saat ini masih aktif dan diyakini memulai aksinya bahkan beberapa tahun sebelum terjadinya insiden SPE. Kaspersky Lab dan peneliti lainnya di Operasi Blockbuster mengkonfirmasi adanya hubungan antara malware yang digunakan dalam berbagai serangan, seperti di Operasi DarkSeoul, dimana tergetnya adalah perbankan dan media penyiaran yang berbasis di Seoul; Operasi Troy, dimana yang menjadi targetnya adalah pasukan militer di Korea Selatan; dan tidak ketinggalan insiden Sony Pictures.
Selama penyelidikan, peneliti Kaspersky Lab saling bertukar temuan awal dengan AlienVault Labs. Pada akhirnya peneliti dari kedua perusahaan memutuskan untuk menyatukan upaya dan melakukan investigasi secara bersama-sama. Pada saat yang bersamaan, aktivitas kelompok Lazarus juga sedang diselidiki oleh banyak perusahaan dan spesialis keamanan lainnya. Salah satu dari perusahaan ini, Novetta memulai sebuah inisiatif yang bertujuan untuk mempublikasikan kemampuan yang paling sering digunakan dan berdampak luas dari aktivitas kelompok Lazarus. Sebagai bagian dari Operasi Blockbuster, bersama-sama dengan Novetta, AlienVault Labs, dan mitra lainnya, Kaspersky Lab menerbitkan temuannya untuk kepentingan masyarakat luas.
Dengan menganalisis beberapa sampel malware yang terdeteksi di berbagai insiden keamanan siber serta menciptakan aturan-aturan pendeteksian yang khusus, Kaspersky Lab, AlienVault dan spesialis lain di Operasi Blockbuster mampu mengidentifikasi sejumlah serangan yang memang dilakukan oleh kelompok Lazarus.
Link dari beberapa sampel hingga merujuk ke satu kelompok ditemukan pada saat analisis metode yang digunakan oleh penjahat siber ini. Secara khusus, ditemukan bahwa para penjahat siber secara aktif mendaur ulang kode – maksudnya adalah menggunakan kembali fragmen kode dari satu program berbahaya untuk digunakan di program berbahaya lainnya.
Selain itu, para peneliti juga melihat adanya kesamaan dalam modus operandi penyerang. Ketika menganalisis artefak dari serangan yang berbeda-beda, mereka menemukan bahwa droppers – file khusus yang digunakan untuk menginstal berbagai variasi dari payload jahat – kebanyakan menyimpan payload jahat mereka dalam arsip ZIP yang dilindungi kata sandi. Sementara kata sandi untuk arsip yang digunakan dalam serangan yang berbeda-beda juga sama di hard coding dalam droppers.
Proteksi terhadap kata sandi dilakukan dalam upaya mencegah sistem secara otomatis mengambil dan menganalisis payload, tetapi dalam kenyataannya hal itu malah membantu para peneliti untuk mengidentifikasi kelompok.
Sebuah metode khusus digunakan oleh penjahat siber untuk mencoba menghapus jejak keberadaan mereka dari sistem yang terinfeksi, bersama dengan beberapa teknik yang mereka gunakan untuk menghindari deteksi oleh produk anti-virus juga memberi peneliti sarana tambahan serangan mengelompokan serangan-srangan yang terkait. Pada akhirnya puluhan serangan ditargetkan yang berbeda-beda, dimana para pelakunya tidak diketahui, merujuk ke satu pelaku ancaman.
Lokasi Target Serangan
Analisis tanggal kompilasi dari sampel menunjukkan bahwa sampel paling awal kemungkinan ditemukan sejak tahun 2009, atau lima tahun sebelum serangan terhadap Sony Pictures. Jumlah sampel baru bahkan tumbuh secara signifikan sejak 2010. Ini mencirikan kelompok Lazarus sebagai kelompok hacker yang stabil dan telah lama beraksi.
Berdasarkan ekstraksi metadata dari sampelyang diselidiki, sebagian besar program berbahaya yang digunakan oleh kelompok Lazarus tampaknya telah dikumpulkan selama jam kerja zona waktu GMT+ 8 – GMT+ 9.
“Seperti yang sudah kami prediksikan bahwa jumlah serangan malware wiper akan terus bertambah. Malware semacam ini terbukti menjadi jenis senjata siber paling efektif. Kemampuan untuk merusak ribuan komputer hanya dengan menekan sebuah tombol menjadi imbalan yang setimpal bagi tim Computer Network Exploitation yang memang bertugas untuk memberikan informasi menyesatkan (disinformasi) dan melakukan perusakan terhadap perusahaan yang menjadi sasaran. Namun, dengan adanya kerjasama dengan mitra lain di industri ini, kami merasa bangga dapat mengungkapkan aksi tidak bermoral dari para penjahat siber yang memanfaatkan teknik-teknik yang menghancurkan,” kata Juan Guerrero, senior security researcher di Kaspersky Lab melalui keterangan resminya, Jumat (26/2).
Hal yang tak jauh berbeda diutarakan Jaime Blasco, chief scientist, AlienVault. Menurutnya, para pelaku kejahatan ini memiliki keterampilan dan tekad yang diperlukan untuk melakukan aksi spionase siber dengan tujuan mencuri data atau menyebabkan kerusakan. “Ketika hal tersebut digabungkan dengan penggunaan teknik disinformasi dan penipuan, mereka berhasil melakukanbeberapa aksi kejahatan siber dalam beberapa tahun terakhir,” katanya.
Ia menambahkan, operasi Blockbuster adalah contoh nyata bahwa dengan berbagi informasi dan kolaborasi antar perusahaan dapat menaikkan standar kesulitan menjadi lebih tinggi sehingga mencegah para penjahat siber ini terus melanjutkan aksinya.