Baca tanpa iklan
TRIBUNNEWS.COM, JAKARTA - Peneliti Symantec telah menemukan informasi penting terkait sebuah kelompok spionase siber yang merupakan dalang di balik serangkaian serangan siber terkini yang dirancang untuk mengumpulkan intelijen tentang setiap target yang tersebar terutama di wilayah Timur Tengah, serta di Eropa dan Amerika Utara.
Kelompok ini, yang kami sebut Seedworm (alias MuddyWater), telah beroperasi setidaknya sejak tahun 2017, di mana aktivitas terbarunya terdeteksi di bulan Desember 2018.
Para analis di tim DeepSight Managed Adversary dan Threat Intelligence (MATI) kami telah menemukan backdoor baru, Backdoor.Powemuddy, yang merupakan varian baru backdoor Powermud (alias POWERSTATS) dari Seedworm, yaitu repositori GitHub yang digunakan oleh kelompok ini untuk menyimpan skrip mereka, serta beberapa tool pascainfiltrasi yang digunakan oleh kelompok ini untuk mengeksploitasi korban setelah mereka berhasil membuat pijakan di jaringan mereka.
Bulan September 2018, ditemukan bukti serangan Seedworm dan kelompok spionase APT28 (alias Swallowtail, Fancy Bear), pada sebuah komputer milik kantor kedutaan Brazil di sebuah negara penghasil minyak.
Melihat dua kelompok penyerang yang aktif tersebut menggelitik minat kami, dan ketika kami mulai menelusurinya, kami menemukan lebih banyak petunjuk yang mendorong kami untuk mengungkap informasi baru tentang Seedworm.
"Kami tidak hanya menemukan titik masuk awal, tetapi kami dapat mengikuti aktivitas lanjutan Seedworm setelah infeksi awal karena Symantec memiliki akses terhadap telemetri yang luas melalui Global Intelligence Network," kata peneliti Symantec dalam keterangan pers, Kamis (13/12/2018).
Berkat visibilitas unik ini, para analis kami dapat melacak pergerakan yang dilakukan oleh Seedworm setelah grup penyerang ini berhasil masuk ke jaringan.
Ditemukan varian baru backdoor Powermud, sebuah backdoor baru (Backdoor.Powemuddy), dan tool khusus untuk mencuri kata sandi, membuat reverse shell, eskalasi hak istimewa, serta penggunaan tool pembuatan cabinet Windows native,makecab.exe.
"Ini yang mungkin digunakan untuk mengkompresi data yang dicuri agar dapat diunggah. Pelanggan DeepSight MATIdapat memanfaatkan informasi bermanfaat ini untuk memberantas ancaman siber," katanya.
Motivasi-motivasi di balik serangan Seedworm sangat mirip dengan motivasi dari kebanyakan kelompok spionase siber yang kami amati. Mereka berusaha untuk mendapatkan informasi yang dapat ditindaklanjuti tentang perusahaan dan individu yang menjadi target.