Kiamat Digital Mengintai, Hacker Canggih Bobol Sistem Pertahanan Negara
- Crosswalk
Jakarta, VIVA – Tim Riset dan Analisis Global Kaspersky (GReAT) telah mendeteksi bahwa kelompok APT SideWinder tengah memperluas operasi serangan siber ke Timur Tengah dan Afrika, dengan memanfaatkan perangkat mata-mata yang sebelumnya tidak dikenal yang disebut ‘StealerBot'.
Sebagai bagian dari pemantauan berkelanjutan terhadap aktivitas APT, Kaspersky menemukan bahwa kampanye terkini menargetkan entitas-entitas penting dan infrastruktur strategis di wilayah-wilayah ini, sementara kampanye tersebut secara umum tetap aktif dan dapat menargetkan korban-korban lainnya.
SideWinder, yang juga dikenal sebagai T-APT-04 atau RattleSnake, adalah salah satu kelompok APT paling produktif yang memulai operasi serangan siber pada 2012.
Selama bertahun-tahun, kelompok ini terutama menargetkan entitas-entitas militer dan pemerintah di Pakistan, Sri Lanka, China, Nepal, serta sektor-sektor dan negara-negara lain di Asia Selatan dan Asia Tenggara.
Baru-baru ini, Kaspersky mengamati sejumlah gelombang serangan baru, yang telah meluas hingga memengaruhi entitas-entitas penting dan infrastruktur strategis di Timur Tengah dan Afrika.
Selain perluasan geografis, Kaspersky menemukan bahwa SideWinder menggunakan perangkat pascaeksploitasi yang sebelumnya tidak dikenal yang disebut ‘StealerBot’. Ini adalah implan modular canggih yang dirancang khusus untuk kegiatan spionase, dan saat ini digunakan oleh kelompok tersebut sebagai alat utama pasca-eksploitasi.
“Singkatnya, StealerBot adalah alat mata-mata tersembunyi yang memungkinkan pelaku kejahatan siber untuk memata-matai sistem tanpa mudah dideteksi,” ungkap Kepala Peneliti Keamanan Kaspersky, Giampaolo Dedola.
Selama penyelidikan terbarunya, Kaspersky mengamati bahwa StealerBot melakukan berbagai aktivitas berbahaya, seperti memasang malware tambahan, mengambil tangkapan layar, mencatat penekanan tombol, mencuri kata sandi dari browser, menyadap kredensial RDP (Remote Desktop Protocol), serta mengekstraksi berkas.
Kaspersky pertama kali melaporkan aktivitas kelompok tersebut pada 2018. Pelaku ini diketahui mengandalkan email spear-phishing sebagai metode infeksi utamanya, yang berisi dokumen berbahaya yang mengeksploitasi kerentanan Office dan terkadang memanfaatkan file LNK, HTML, dan HTA yang terdapat dalam arsip.
Dokumen sering kali berisi informasi yang diperoleh dari situs web publik, yang digunakan untuk memikat korban agar membuka file tersebut dan mempercayainya sebagai file yang sah.