Aktor Ancaman OPERA1ER Curi Rp 173 M Dari Bank dan Perusahaan Telekomunikasi

Cyberthreat.id – Peneliti keamanan dari Grup-IB mengungkapkan kampanye APT yang telah berjalan lama oleh kelompok ancaman berbahasa Prancis yang disebut OPERA1ER, mencuri setidaknya $11 juta (Rp 173 M) dari bank dan perusahaan telekomunikasi selama periode empat tahun.

Dikutip dari Info Security Magazine, dalam laporan terbarunya, Group-IB merinci bagaimana kelompok tersebut menggunakan peralatan siap pakai untuk melakukan setidaknya 35 serangan terhadap bank, perusahaan jasa keuangan, dan penyedia telekomunikasi terutama di Afrika, Bangladesh, dan Argentina, antara 2018 dan 2022.

"Analisis terperinci dari serangan geng baru-baru ini mengungkapkan pola yang menarik dalam modus operandinya: OPERA1ER melakukan serangan terutama selama akhir pekan atau hari libur," kata Rustam Mirkasymov, kepala penelitian ancaman dunia maya di Group-IB.

Hal ini berkorelasi dengan fakta bahwa ia menghabiskan tiga hingga 12 bulan dari akses awal ke pencurian uang. Ditetapkan bahwa kelompok peretas berbahasa Prancis dapat beroperasi dari Afrika, dengan jumlah pasti anggota geng tidak diketahui.

Menurut Group-IB, kelompok ini menggunakan malware yang tersedia secara bebas dan kerangka kerja tim merah seperti Metasploit dan Cobalt Strike untuk mencapai tujuannya. Serangan dimulai dengan email spear-phishing yang sangat bertarget yang dimuat dengan lampiran jebakan, yang dapat menyembunyikan Trojan akses jarak jauh (RAT) seperti Netwire, bitrat, venomRAT, AgentTesla atau Neutrino, serta sniffer kata sandi dan dumper.

Akses ini mengarah pada eksfiltrasi email dan dokumen internal yang kemudian dipelajari untuk digunakan dalam serangan phishing di masa mendatang. Dokumen juga membantu penyerang untuk memahami platform pembayaran digital kompleks yang digunakan oleh organisasi korban, menurut laporan tersebut.

“Platform ini memiliki arsitektur tiga tingkat dari akun yang berbeda untuk memungkinkan berbagai jenis operasi. Untuk mengkompromikan sistem ini, OPERA1ER akan membutuhkan pengetahuan khusus tentang orang-orang penting yang terlibat dalam proses, mekanisme perlindungan yang ada, dan hubungan antara operasi platform back-end dan penarikan tunai,
“ kata Group-IB.

Kelompok ini bisa mendapatkan pengetahuan ini langsung dari orang dalam atau diri mereka sendiri dengan perlahan dan hati-hati memasuki sistem yang ditargetkan. Menggunakan kredensial yang dicuri dari akun internal, para peretas tampaknya mentransfer dana dari akun "operator" yang berisi sejumlah besar uang, ke akun "pengguna saluran" dan kemudian ke akun "pelanggan" di bawah kendali mereka.

Kelompok tersebut kemudian mencairkan dana melalui ATM, yang termasuk satu penggerebekan di mana mereka melakukannya melalui jaringan lebih dari 400 akun pelanggan yang dikendalikan oleh bagal uang yang direkrut beberapa bulan sebelumnya.

Dalam satu kasus, peretas berhasil mengakses perangkat lunak antarmuka pengiriman pesan SWIFT bank korban, sementara di kasus lain mereka membajak server SMS yang dapat digunakan untuk mem-bypass mekanisme anti-penipuan atau menguangkan uang melalui sistem pembayaran atau perbankan seluler.