Waspada! Rootkit Moriyu Targetkan Mesin Windows dan Pasang Pintu Belakang
Ilustrasi | Foto: Pixabay.com
Cyberthreat.id – Kaspersky menjuluki serangan siber ini dengan sebutan “Operation TunnelSnakce”.
Operator di balik serangan, menurut perusahaan keamanan siber asal Rusia itu, bertahun-tahun menggunakan rootkit Windows untuk diam-diam menginstal pintu belakang (backdoor) di komputer yang rentan.
Kaspersky belum mengetahui pasti dari geng peretas mana operasi tersebut berasal. Namun, dari amatan mereka, taktik yang dipakai memiliki kaitan dengan peretas berbahasa Mandarin.
Rootkit adalah peranti lunak yang dirancang untuk tetap berada di bawah radar antimalware dengan menyembunyikan diri di level kode sistem. Rootkit berupa malware yang dirancang untuk menyerang kernel hingga firmware atau memori. Fungsi alat ini bisa memanipulasi sistem operasi secara langsung ke hardware, tergantung jenis rootkit yang dirancang peretas.
Menurut Kaspersky, rootkit yang ditemukan itu bernama “Moriya” dan dipakai untuk menyebarkan pintu belakang pasif di server yang bisa diakses publik.
Pintu belakang kemudian digunakan untuk membuat koneksi dengan server perintah dan kontrol (C2) yang dikendalikan penyerang, seperti dikutip dari ZDNet, diakses Minggu (9 Mei 2021).
Pintu belakang tersebut memungkinkan penyerang memantau semua lalu lintas, masuk dan keluar, yang melewati mesin yang terinfeksi dan menyaring paket yang dikirim untuk malware.
"Karena Moriya adalah pintu belakang pasif yang dimaksudkan untuk digunakan pada server yang dapat diakses dari internet, Moriya tidak berisi alamat C2 yang di-hardcode," tutur Kaspersky.
Kaspersky mencurigai geng hacker berbahasa Mandarin lantaran dari dukungan penggunaan alat pasca-eksploitasi memiliki kemiripan dengan kelompok peretas China, seperti “China Chopper”, “Bounder”, “Termite”, dan “Earthworm”. Aktivitas yang dicurigai ini, seperti pemindaian perangakat (host), pergerakan lateral melintasi jaringan, dan eksfiltrasi file.
Korban dari rootkit Moriyu ini, kata Kaspersky, telah ditemukan di Asia dan Afrika. Meski rootkit terdeteksi pada Oktober 2019 dan Mei 2020, tim menduga bahwa berdasarkan stempel waktu terkait pasca-eksploitasi korban lain di Asia Selatan, geng peretas cangggih itu mungkin telah beroperasi sejak 2018 atau lebih awal.
Namun, tampaknya serangan sangat terfokus dan sejauh ini kurang dari 10 korban di seluruh dunia yang terdeteksi oleh Kaspersky.[]
