Bisnis.com, JAKARTA - Kaspersky Lab mengungkapkan analisis forensik dari jejak-jejak yang ditinggalkan oleh kelompok hacker terkenal Lazarus, di perbankan Asia Tenggara dan Eropa, melalui rilis resminya kepada Bisnis, Minggu (9/4/2017).
Lazarus merupakan kelompok hacker yang diduga bertanggung jawab atas pencurian US$81 juta dolar dari Bank Sentral Bangladesh pada tahun 2016.
Kaspersky Lab mendapatkan pemahaman yang mendalam tentang peralatan berbahaya apa saja yang kelompok ini pergunakan serta bagaimana cara mereka beroperasi ketika menyerang lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi dan perusahaan mata uang kripto di seluruh dunia.
Pengetahuan ini diklaim telah berhasil membantu menggagalkan dua operasi lain yang memiliki tujuan yang sama yaitu untuk mencuri sejumlah besar uang dari lembaga keuangan.
Berdasarkan hasil analisis forensik terhadap serangan ini, peneliti Kaspersky Lab mampu merekonstruksi modus operandi kelompok Lazarus.
Pada awal peretasan, sebuah sistem tunggal dalam bank diretas dengan menggunakan kerentanan kode yang dapat diakses dari jarak jauh (pada webserver) atau melalui serangan watering hole melalui exploit yang ditanam pada situs tidak berbahaya. Setelah situs tersebut dikunjungi, komputer korban (karyawan bank) terkena malware, yang membawa komponen tambahan.
Kemudian, kelompok berpindah ke host Bank lainnya dan menyebarkan backdoors yang gigih - malware tersebut memungkinkan kelempok untuk datang dan pergi kapan pun mereka inginkan.
Selanjutnya, kelompok menghabiskan berhari-hari bahkan minggu untuk mempelajari jaringan, dan mengidentifikasi sumber daya berharga. Salah satu sumber daya tersebut dapat menjadi server cadangan, di mana informasi mengenai otentikasi disimpan, server mail atau keseluruhan domain controller dengan kunci untuk setiap “pintu” di perusahaan, serta server penyimpanan atau catatan pengolahan transaksi keuangan.
Akhirnya, mereka menyebarkan malware khusus yang mampu melewati fitur keamanan internal dari perangkat lunak keuangan kemudian mencairkan transaksi keuangan tidak resmi atas nama bank.
Serangan ini diselidiki oleh para peneliti Kaspersky Lab yang berlangsung selama berminggu-minggu. Namun, para penyerang mampu beroperasi di bawah radar selama berbulan-bulan.
Menurut catatan Kaspersky Lab, dari Desember 2015, sampel malware yang berhubungan dengan kegiatan kelompok Lazarus muncul di lembaga keuangan, kasino, pengembang perangkat lunak untuk perusahaan investasi dan perusahaan mata uang kripto di Korea, Bangladesh, India, Vietnam, Indonesia, Kosta Rika, Malaysia, Polandia , Irak, Ethiopia, Kenya, Nigeria, Uruguay, Gabon, Thailand dan beberapa negara lainnya.
Sampel terbaru yang diketahui Kaspersky Lab terdeteksi pada Maret 2017, menunjukkan bahwa penyerang tidak punya niat untuk berhenti.
Meskipun penyerang cukup berhati-hati dalam menghapus jejak mereka, setidaknya ada satu server yang mereka retas untuk serangan lain terdapat kesalahan serius dengan jejak penting yang tertinggal.
Dalam persiapan operasi, server dikonfigurasi sebagai command & control center untuk malware. Koneksi pertama kali yang dibuat pada hari konfigurasi datang dari beberapa VPN/ server proxy yang menunjukkan periode pengujian bagi C & C server. Namun, ada satu koneksi singkat pada hari itu yang datang dari sebuah alamat IP sangat langka di Korea Utara.
Menurut peneliti, hal ini bisa berarti beberapa hal, yakni para penyerang terhubung dari alamat IP tersebut di Korea Utara, operasi pengalihan palsu dari orang lain yang direncanakan dengan hati-hati, dan seseorang di Korea Utara sengaja mengunjungi URL dari command and control.
Kelompok Lazarus banyak berinvestasi dalam mengembangkan varian terbaru dari malware mereka. Selama berbulan-bulan mereka mencoba untuk membuat sebuah toolset berbahaya yang tidak akan terlihat oleh solusi keamanan.
Vitaly Kamluk, Head of Global Research and Analysis Team APAC di Kaspersky Lab, mengatakan, Kaspersky Lab yakin kelompok ini akan segera kembali. Dia mengatakan kesimpulannya, serangan seperti yang dilakukan oleh kelompok Lazarus menunjukkan bahwa kesalahan konfigurasi yang kecil sekalipun dapat mengakibatkan peretasan keamanan utama, yang berpotensi dapat menyebabkan perusahaan yang ditargetkan mengalami kerugian ratusan juta dolar.
"Kami berharap bahwa kepala eksekutif dari perbankan, kasino dan perusahaan investasi di seluruh dunia menjadi waspada ketika mendengar nama Lazarus,” ujar Vitaly Kamluk.