Phuket, CNN Indonesia —
Kelompok peretas atau hacker yang diduga disponsori oleh Pemerintah Korea Utara, Kimsuky, disebut masih aktif berupaya membobol diplomat, lembaga pemikir, hingga jurnalis di Asia Pasifik. Untungnya, pakar sudah mengungkap sejumlah modus grup ini.
Peneliti Utama Keamanan Siber untuk Tim Riset dan Analisis Global (GReAT) di Kaspersky Seongsu Park mengungkapkan pihaknya “membuka kedok kampanye spionase siber aktif” kelompok peretas yang kerap merilis serangan canggih (advanced persistent threat) ini hampir 10 tahun lalu.
Sejak itu, Kimsuky, yang merupakan “kelompok yang disponsori negara”, yang pernah menargetkan lembaga pemikir (think-tank) Korea Selatan, terus melakukan pembaruan peralatan dan taktik “untuk mengorbankan entitas terkait Korea Utara”.
Park menemukan bahwa kelompok itu terus-menerus mengonfigurasi server komando dan kontrol multi-tahap (C2) dengan berbagai layanan hosting komersial yang berlokasi di seluruh dunia.
Server perintah dan kontrol adalah server yang membantu aktor ancaman alias peretas mengendalikan malware mereka dan mengirim perintah jahat ke anggotanya, mengatur spyware, mengirim muatan, dan banyak lagi.
Jumlah server itu kian bertambah, dari sebelumnya di bawah 100 server C2 di 2019 menjadi 603 pusat komando berbahaya per Juli 2022.
“Ini jelas menunjukkan bahwa aktor ancaman akan meluncurkan lebih banyak serangan, mungkin di luar semenanjung Korea,” ujar Park, saat bicara dalam ajang Asia Pacific (APAC) Kaspersky Cyber Security Weekend, Phuker, Thailand, pekan lalu.
“Sejarahnya menunjukkan bahwa lembaga pemerintah, entitas diplomatik, media, dan bahkan bisnis mata uang kripto di APAC harus waspada terhadap ancaman tersembunyi ini,” lanjutnya.
Cybersecurity & Infrastructure Security Agency (CISA) AS menyebut Kimsuky sebagai kelompok APT Korea Utara yang menargetkan berbagai korban di seluruh dunia. Tujuannya adalah untuk mendapatkan data intelijen tentang “berbagai topik yang menarik bagi pemerintah Korea Utara”.
Cara kerja
Park melanjutkan Kaspersky mengamati salah satu gelombang serangan Kimsuky, yang juga dikenal sebagai Klaster GoldDragon ini, pada awal 2022 yang menargetkan jurnalis dan entitas diplomatik serta akademik di Korea Selatan.
Grup ini memulai rantai serangannya dengan mengirimkan email spear-phishing (menyamar sebagai orang/perusahaan tertentu untuk mendapat akses ke data pribadi target) yang berisi dokumen Word.
Berbagai contoh dokumen Word yang digunakan dalam serangan ini memperlihatkan keterkaitan dengan masalah geopolitik di Semenanjung Korea.
Pihak Kaspersky, kata dia, bahkan melihat isi dokumen umpan yang beragam topiknya, antara lain agenda “Konferensi Kepemimpinan Asia 2022”, permintaan honorarium, hingga daftar riwayat hidup diplomat Australia.
Berikut rincian modus server C2:
1. Pelaku mengirimkan email spear-phishing kepada calon korban untuk mengunggah dokumen tambahan.
2. Jika link tersebut diklik, korban terkoneksi dengan server C2 tahap pertama, dengan alamat email sebagai parameter.
3. Server C2 tahap pertama memverifikasi alamat email yang masuk. Jka benar, dokumen berbahaya dikirimkan. Script tahap pertama juga meneruskan alamat IP korban ke server tahap berikutnya.
4. Saat dokumen dibuka, korban terhubung ke server C2 yang kedua.
5. Script yang sesuai pada server C2 kedua memeriksa alamat IP yang diteruskan dari server tahap pertama untuk memeriksa apakah itu dari korban yang sama atau bukan.
6. Selain itu, operator bergantung pada beberapa proses lain untuk mengirimkan muatan berikutnya dengan hati-hati, seperti memeriksa jenis OS (sistem operasi) dan User-Agent String (bagian identifikasi perangkat yang meminta konten online) yang ditentukan.
Park menambahkan teknik penting lainnya yang digunakan Kimsuky adalah penggunaan proses verifikasi klien untuk mengonfirmasi bahwa korban yang relevan.
“Kelompok Kimsuky terus mengembangkan skema infeksi malware dan mengadopsi teknik baru untuk menghalangi analisis,” ujarnya.
“Kesulitan dalam melacak kelompok ini adalah sulitnya memperoleh rantai infeksi penuh. Seperti yang dapat kita lihat dari penelitian ini, baru-baru ini, aktor ancaman mengadopsi metodologi verifikasi korban di server komando dan kontrol mereka,” jelas Park.
“Terlepas dari kesulitan mendapatkan objek sisi server, jika kami menganalisis server penyerang dan malware dari sisi korban, kami dapat sepenuhnya memahami bagaimana pelaku ancaman mengoperasikan infrastruktur mereka dan jenis teknik yang mereka gunakan,” tandasnya.
(arh/arh)
[Gambas:Video CNN]
