TRIBUNNEWS.COM, JAKARTA - Bersama dengan Novetta dan mitra lainnya, Kaspersky Lab dengan bangga mengumumkan kontribusinya terhadap Operasi Blockbuster.
Tujuan dari operasi ini adalah untuk menghentikan aktivitas kelompok Lazarus – sebuah entitas yang sangat berbahaya dan bertanggung jawab atas kerusakan data serta aksi spionase siber konvensional terhadap beberapa perusahaan di seluruh dunia.
Para penjahat siber ini diyakini menjadi dalang di balik serangan terhadap Sony Pictures Entertainment pada tahun 2014, serta operasi DarkSeoul yang menargetkan media dan lembaga keuangan di tahun 2013.
Setelah serangan yang sangat merusak terhadap perusahaan produksi film terkenal, Sony Pictures Entertainment (SPE) pada tahun 2014, Global Research and Analysis Team (GReAT) dari Kaspersky Lab mulai melakukan penyelidikan atas sampel malware Destover yang digunakan dalam serangan itu.
Hal ini mengarah ke penelitian yang lebih luas lagi yaitu ke kelompok yang terkait aksi spionase siber dan sabotase siber yang menargetkan diantaranya lembaga keuangan, media, dan perusahaan manufaktur.
Berdasarkan karakteristik umum dari kelompok malware yang berbeda-beda, para ahli perusahaan berhasil mengelompokkan puluhan serangan terisolasi dan menentukan bahwa mereka semua berasal dari satu pelaku ancaman, para anggota lainnya dalam Operasi Blockbuster ini juga mengkonfirmasikan hal serupa menurut analisia mereka masing-masing.
Kelompok hacker Lazarus sampai saat ini masih aktif dan diyakini memulai aksinya bahkan beberapa tahun sebelum terjadinya insiden SPE. Kaspersky Lab dan peneliti lainnya di Operasi Blockbuster mengkonfirmasi adanya hubungan antara malware yang digunakan dalam berbagai serangan, seperti di Operasi DarkSeoul dimana tergetnya adalah perbankan dan media penyiaran yang berbasis di Seoul, Operasi Troy yang menjadi targetnya adalah pasukan militer di Korea Selatan, dan tidak ketinggalan insiden Sony Pictures.
Selama penyelidikan, peneliti Kaspersky Lab saling bertukar temuan awal dengan AlienVault Labs. Pada akhirnya peneliti dari kedua perusahaan memutuskan untuk menyatukan upaya dan melakukan investigasi secara bersama-sama.
Pada saat yang bersamaan, aktivitas kelompok Lazarus juga sedang diselidiki oleh banyak perusahaan dan spesialis keamanan lainnya. Salah satu dari perusahaan ini, Novetta memulai sebuah inisiatif yang bertujuan untuk mempublikasikan kemampuan yang paling sering digunakan dan berdampak luas dari aktivitas kelompok Lazarus.
Sebagai bagian dari Operasi Blockbuster, bersama-sama dengan Novetta, AlienVault Labs, dan mitra lainnya, Kaspersky Lab menerbitkan temuannya untuk kepentingan masyarakat luas.
Dengan menganalisis beberapa sampel malware yang terdeteksi di berbagai insiden keamanan siber serta menciptakan aturan-aturan pendeteksian yang khusus, Kaspersky Lab, AlienVault dan spesialis lain di Operasi Blockbuster mampu mengidentifikasi sejumlah serangan yang memang dilakukan oleh kelompok Lazarus.
Link dari beberapa sampel hingga merujuk ke satu kelompok ditemukan pada saat analisis metode yang digunakan oleh penjahat siber ini. Secara khusus, ditemukan bahwa para penjahat siber secara aktif mendaur ulang kode – maksudnya adalah menggunakan kembali fragmen kode dari satu program berbahaya untuk digunakan di program berbahaya lainnya.
Selain itu, para peneliti juga melihat adanya kesamaan dalam modus operandi penyerang. Ketika menganalisis artefak dari serangan yang berbeda-beda, mereka menemukan bahwa droppers - file khusus yang digunakan untuk menginstal berbagai variasi dari payload jahat – kebanyakan menyimpan payload jahat mereka dalam arsip ZIP yang dilindungi kata sandi. Sementara kata sandi untuk arsip yang digunakan dalam serangan yang berbeda-beda juga sama di hard coding dalam droppers.
Proteksi terhadap kata sandi dilakukan dalam upaya mencegah sistem secara otomatis mengambil dan menganalisis payload, tetapi dalam kenyataannya hal itu malah membantu para peneliti untuk mengidentifikasi kelompok.