Ketika Malware Berperang dengan Malware Lain

Singapura -

Advanced Persistent Threats (APT) biasanya menyerang organisasi-organsisasi yang menyimpan data sensitif di jaringannya. Namun apa yang terjadi jika APT ini menyerang organisasi yang telah terinfeksi APT lain? Yang terjadi adalah perang antar APT.

Kisah ini bermula dari sebuah grup spionase cyber bernama Naikon, yang menyerang banyak organisasi di sejumlah negara di Asia Pasifik. Grup ini menyerang dengan mengirimkan email yang berisi attachment berisi malware. Hingga suatu ketika, Naikon ternyata menyerang sebuah grup spionase cyber lain, yang bernama Hellsing. Hellsing, yang menerima email berisi malware kiriman Naikon, mengirimkan kembali email tersebut ke si pengiriman, seraya meminta konfirmasi mengenai kebenaran isi attachment tersebut.

Dan dalam email tersebut, Hellsing juga menyerang balik dengan menggunakan malware buatan Naikon. Ternyata dalam aksi serangan balik ini, Hellsing ingin mengungkap identitas grup Naikon dan juga mengumpulkan data-data intelijen terhadap grup tersebut.

Dan di sinilah keberadaan grup Hellsing diketahui oleh tim penyelidik dari Kaspersky Lab, yang kemudian merilis laporan perang antar APT ini. Dalam penyelidikan lebih lanjut, Hellsing diketahui juga mempunyai aksi spionase cyber yang sama dengan Naikon. Yaitu mengirimkan email dengan attachment berisi malware, kepada sejumlah organisasi.

Dalam catatan Kaspersky Lab, setidaknya ada 20 organisasi yang telah diserang oleh Hellsing. Semuanya berada di kawasan Asia Pasifik, dan paling banyak berada di Malaysia, Filipina, dan Indonesia, seperti dikatakan Costin Raiu Direktur Global Research and Analyst Team Kaspersky Lab dalam Kaspersky Cybersecurity Summit di Singapura.

Menurut Raiu, Hellsing sangat selektif dalam memilih korbannya. Mereka paling banyak menyerang organisasi yang berasal dari pihak pemerintahan, dan organisasi diplomatik.

Jika si penerima email membuka attachment tersebut mereka akan segera terinfeksi oleh malware. Setelah itu yang terjadi adalah malware itu akan membuat sebuah backdoor yang mampu mengunggah dan mengunduh file, memperbarui serta menghapus file malware itu sendiri.

“Aksi serangan balik yang dilakukan Hellsing terhadap Naikon ini bergaya ‘Empire Strikes Back’, dan sangat menarik. Aksi semacam ini dimaksudkan untuk mencuri daftar korban dari Naikon, dan kemudian memasukkannya ke daftar serangan yang akan mereka lakukan selanjutnya,” ujar Raiu.

(asj/ash)