Waspada SideWinder, Sindikat Hacker yang Lihai dalam Spionase dan Sabotase Siber
21 October 2024 |
13:20 WIB
Praktik spionase atau mata-mata menjadi ancaman bagi setiap negara. Kegiatan ini dapat berakibat fatal seperti kebocoran atau pencurian data dan informasi sensitif pemerintahan seperti, kepentingan ekonomi strategis hingga strategi militer dalam menjaga keamanan nasional.
Biasanya, para mata-mata tersebut tergabung dalam kelompok sindikat. Kelompok ini dinamakan advance persistent threat (APT). Mereka kerap melakukan serangan siber yang terarah dengan sumber daya mumpuni untuk menyusup dan mencuri data sensitif melalui spionase atau sabotase siber.
Baca juga: Novel Kisah Spionase Gabriel Allon Masuk Daftar Best Seller
Salah satu kelompok APT yang terkenal di dunia yakni SideWinder, yang juga dikenal sebagai T-APT-04 atau RattleSnake. Mengutip Kaspersky, mereka merupakan kelompok APT paling produktif yang memulai operasinya pada 2012.
Selama bertahun-tahun, kelompok ini menargetkan entitas-entitas militer dan pemerintah di Pakistan, Sri Lanka, Tiongkok, dan Nepal, serta sektor-sektor dan negara-negara lain di Asia Selatan dan Asia Tenggara. Baru-baru ini, para peneliti dari Kaspersky mengamati sejumlah gelombang serangan baru, yang meluas hingga memengaruhi entitas-entitas penting dan infrastruktur strategis di Timur Tengah dan Afrika.
Selain perluasan geografis, Kaspersky menemukan bahwa SideWinder menggunakan perangkat pasca-eksploitasi yang sebelumnya tidak dikenal yang disebut ‘StealerBot’. Perangkat ini berupa implan modular canggih yang dirancang khusus untuk kegiatan spionase.
StealerBot saat ini digunakan oleh kelompok tersebut sebagai alat utama pasca-eksploitasi. Giampaolo Dedola, kepala peneliti keamanan di Riset dan Analisis Global Kaspersky (GReAT) menerangkan singkatnya, StealerBot adalah alat mata-mata tersembunyi yang memungkinkan pelaku kejahatan siber untuk memata-matai sistem tanpa mudah dideteksi.
Alat ini beroperasi melalui struktur modular, dengan setiap komponen dirancang untuk menjalankan fungsi tertentu. Khususnya, modul-modul ini tidak pernah muncul sebagai berkas di hard drive system, sehingga sulit dilacak.
“Sebaliknya, modul-modul tersebut dimuat langsung ke dalam memori. Inti dari StealerBot adalah Orchestrator, yang mengawasi seluruh operasi, berkomunikasi dengan server perintah dan kontrol para kriminal siber, lalu mengoordinasikan pelaksanaan berbagai modulnya,” jelas Dedola.
Selama penyelidikan terbarunya, Kaspersky mengamati bahwa StealerBot melakukan berbagai aktivitas berbahaya, seperti memasang malware tambahan, mengambil tangkapan layar. Melalui perangkat ini, kelompok APT itu juga dapat mencatat penekanan tombol, mencuri kata sandi dari browser, menyadap kredensial Remote Desktop Protocol (RSP), mengekstraksi berkas, dan masih banyak lagi.
Baca juga: Review Spy Ops, Kisah-Kisah Spionase dalam Film Dokumenter
Dedola menyampaikan Kaspersky pertama kali melaporkan aktivitas kelompok tersebut pada 2018. Pelaku ini diketahui mengandalkan email spear-phishing sebagai metode infeksi utamanya, yang berisi dokumen berbahaya yang mengeksploitasi kerentanan Office dan terkadang memanfaatkan file LNK, HTML, dan HTA yang terdapat dalam arsip.
Dokumen sering kali berisi informasi yang diperoleh dari situs web publik, kemudian digunakan untuk memikat korban agar membuka file tersebut dan mempercayainya sebagai file yang sah. Kaspersky mengamati beberapa keluarga malware yang digunakan dalam kampanye paralel, termasuk RAT yang dibuat khusus dan dimodifikasi, yang tersedia untuk umum.
Editor: Fajar Sidik
Biasanya, para mata-mata tersebut tergabung dalam kelompok sindikat. Kelompok ini dinamakan advance persistent threat (APT). Mereka kerap melakukan serangan siber yang terarah dengan sumber daya mumpuni untuk menyusup dan mencuri data sensitif melalui spionase atau sabotase siber.
Baca juga: Novel Kisah Spionase Gabriel Allon Masuk Daftar Best Seller
Salah satu kelompok APT yang terkenal di dunia yakni SideWinder, yang juga dikenal sebagai T-APT-04 atau RattleSnake. Mengutip Kaspersky, mereka merupakan kelompok APT paling produktif yang memulai operasinya pada 2012.
Selama bertahun-tahun, kelompok ini menargetkan entitas-entitas militer dan pemerintah di Pakistan, Sri Lanka, Tiongkok, dan Nepal, serta sektor-sektor dan negara-negara lain di Asia Selatan dan Asia Tenggara. Baru-baru ini, para peneliti dari Kaspersky mengamati sejumlah gelombang serangan baru, yang meluas hingga memengaruhi entitas-entitas penting dan infrastruktur strategis di Timur Tengah dan Afrika.
Selain perluasan geografis, Kaspersky menemukan bahwa SideWinder menggunakan perangkat pasca-eksploitasi yang sebelumnya tidak dikenal yang disebut ‘StealerBot’. Perangkat ini berupa implan modular canggih yang dirancang khusus untuk kegiatan spionase.
StealerBot saat ini digunakan oleh kelompok tersebut sebagai alat utama pasca-eksploitasi. Giampaolo Dedola, kepala peneliti keamanan di Riset dan Analisis Global Kaspersky (GReAT) menerangkan singkatnya, StealerBot adalah alat mata-mata tersembunyi yang memungkinkan pelaku kejahatan siber untuk memata-matai sistem tanpa mudah dideteksi.
Alat ini beroperasi melalui struktur modular, dengan setiap komponen dirancang untuk menjalankan fungsi tertentu. Khususnya, modul-modul ini tidak pernah muncul sebagai berkas di hard drive system, sehingga sulit dilacak.
“Sebaliknya, modul-modul tersebut dimuat langsung ke dalam memori. Inti dari StealerBot adalah Orchestrator, yang mengawasi seluruh operasi, berkomunikasi dengan server perintah dan kontrol para kriminal siber, lalu mengoordinasikan pelaksanaan berbagai modulnya,” jelas Dedola.
Selama penyelidikan terbarunya, Kaspersky mengamati bahwa StealerBot melakukan berbagai aktivitas berbahaya, seperti memasang malware tambahan, mengambil tangkapan layar. Melalui perangkat ini, kelompok APT itu juga dapat mencatat penekanan tombol, mencuri kata sandi dari browser, menyadap kredensial Remote Desktop Protocol (RSP), mengekstraksi berkas, dan masih banyak lagi.
Baca juga: Review Spy Ops, Kisah-Kisah Spionase dalam Film Dokumenter
Dedola menyampaikan Kaspersky pertama kali melaporkan aktivitas kelompok tersebut pada 2018. Pelaku ini diketahui mengandalkan email spear-phishing sebagai metode infeksi utamanya, yang berisi dokumen berbahaya yang mengeksploitasi kerentanan Office dan terkadang memanfaatkan file LNK, HTML, dan HTA yang terdapat dalam arsip.
Dokumen sering kali berisi informasi yang diperoleh dari situs web publik, kemudian digunakan untuk memikat korban agar membuka file tersebut dan mempercayainya sebagai file yang sah. Kaspersky mengamati beberapa keluarga malware yang digunakan dalam kampanye paralel, termasuk RAT yang dibuat khusus dan dimodifikasi, yang tersedia untuk umum.
Editor: Fajar Sidik
Komentar
Silahkan Login terlebih dahulu untuk meninggalkan komentar.