AS Ungkap Malware Baru yang Digunakan Hacker Korea Utara
Ilustrasi
Cyberthreat.id - Amerika Serikat (AS) merilis sejumlah malware baru yang sedang digunakan hacker Korea Utara. Pentagon, FBI, dan Departemen Keamanan Dalam Negeri (DHS) pada Jumat (14 Februari 2020) mengekspos operasi hacking yang sedang dilakukan musuh politiknya di kancah global tersebut.
Pasukan Cyber AS, sebuah rantai Komando Cyber Pentagon, menyatakan di Twitter bahwa Korut menggunakan malware “untuk phishing dan akses jarak jauh guna melakukan aktivitas ilegal, mencuri uang dan menghindari sanksi internasional".
Di Twitter, akun @CNMF_VirusAlert menyediakan tautan ke Virustotal.com, repositori malware milik Alphabet, yang menyediakan hash kriptografi, nama file, dan detail teknis lainnya yang dapat membantu pihak-pihak terkait untuk mengidentifikasi kompromi di dalam jaringan yang dilindungi.
Penasihat pendamping dari DHS yakni Cybersecurity and Infrastructure Security Agency (CISA) menyebut kampanye malware Korut dilakukan Hidden Cobra. Sebuah kelompok hacker sejak lama dikenal disponsori pemerintah Korea Utara.
Peneliti keamanan di sektor swasta menggunakan nama lain untuk grup tersebut seperti Lazarus dan Zinc. Enam dari tujuh malware baru Korut diunggah ke VirusTotal pada hari Jumat (14 Februari 2020).
Malware tersebut adalah:
1. Bistromath, sebuah trojan dan implan akses jarak jauh berfitur lengkap yang melakukan survei sistem, mengunggah dan mengunduh file, eksekusi proses dan perintah, dan pemantauan mikrofon, clipboard, dan layar
2. Slickshoes, "dropper" yang memuat, tetapi tidak benar-benar mengeksekusi, sebuah "beaconing implant" yang dapat melakukan banyak hal seperti yang dilakukan Bistromath
3. Hotcroissant, beaconing implant yang berfitur lengkap dan bisa melakukan banyak hal.
4. Artfulpie, "implan yang melakukan pengunduhan dan pemuatan di dalam memori dan eksekusi file DLL dari url yang dikodekan dengan keras (hardcoded url)"
5. Buttetline, implan berfitur lengkap lainnya, tetapi yang ini menggunakan skema HTTPS palsu dengan cipher enkripsi RC4 yang dimodifikasi untuk tetap beraksi diam-diam tanpa diketahui.
6. Crowdedflounder, Windows executable yang dirancang untuk membongkar dan mengeksekusi Trojan Remote Access ke dalam memori komputer.
Pengungkapan bersama yang dilakukan Pentagon, FBI dan DHS ini merupakan bagian dari pendekatan terbaru oleh pemerintah federal AS untuk mengidentifikasi kegiatan hacker yang berbasis di luar negeri.
Sebelumnya, sebagian besar pejabat pemerintah AS menjauhkan diri dari menghubungkan kegiatan peretasan tertentu dengan pemerintah tertentu. Pada 2014, pendekatan itu mulai berubah ketika FBI secara terbuka menyimpulkan bahwa pemerintah Korea Utara berada di belakang peretasan Sony Pictures yang sangat merusak.
Pada tahun 2018, Departemen Kehakiman mendakwa agen Korea Utara karena diduga melakukan peretasan Sony dan melepaskan worm ransomware WannaCry yang mematikan ke komputer di seluruh dunia pada tahun 2017.
Tahun lalu, Departemen Keuangan AS menjatuhkan sanksi kepada tiga kelompok peretasan Korea Utara yang dituduh melakukan serangan, menargetkan infrastruktur kritis, dan mencuri jutaan dolar dari bank di bursa cryptocurrency.
"Meskipun hacker pemerintah Korea Utara sering menggunakan malware dan teknik yang kurang maju dibandingkan dari negara lain, tetapi serangannya semakin maju dan semakin canggih," tulis laporan Ars Technica, Sabtu (15 Februari 2020)
