TRIBUNNEWS.COM, JAKARTA - Kaspersky Lab mencatat sebuah contoh langka dan tidak biasa dari seorang penjahat cyber menyerang penjahat cyber yang lain.

Pada tahun 2014, Hellsing, sebuah kelompok spionase cyber kecil dan secara teknis biasa-biasa saja yang targetnya sebagian besar pemerintah dan organisasi diplomatik di Asia, menjadi sasaran serangan spear-phishing oleh aktor ancaman lain dan pada akhirnya memutuskan untuk melakukan serangan balik.

Kaspersky Lab percaya bahwa hal ini bisa menandai munculnya tren baru dalam kegiatan kriminal dunia maya : perang antar Advanced Persistent Threat (APT).

Penemuan ini dilakukan oleh para ahli Kaspersky Lab pada penelitian mengenai aktivitas Naikon, kelompok spionase maya yang juga menargetkan organisasi di kawasan Asia-Pasifik.

Para ahli melihat bahwa salah satu target dari kelompok Naikon melihat adanya upaya untuk menginfeksi sistem mereka dengan sebuah email spear-phishing yang membawa lampiran berbahaya.

Target kemudian mempertanyakan keaslian email yang diterima kepada pengirim dan, tampaknya tidak puas dengan jawaban pengirim, tidak membuka lampiran berbahaya itu.

Tak lama kemudian target meneruskan kembali email yang berisi malware yang sebenarnya ditujukan untuk target balik kepada pengirim. Hal ini memicu investigasi oleh Kaspersky Lab dan berujung pada penemuan mengenaii kelompok APT Hellsing.

Metode serangan balik menunjukkan bahwa kelompok Hellsing ingin mengidentifikasi kelompok Naikon dan mengumpulkan intelijen mengenainya.

Analisis mendalam mengenai aktor ancaman Hellsing oleh Kaspersky Lab mengungkapkan jejak email spear-phishing dengan lampiran berbahaya yang dirancang untuk menyebarkan malware spionase antara organisasi yang berbeda.

Jika korban membuka lampiran berbahaya, sistem mereka menjadi terinfeksi dengan backdoor kustom yang mampu mengunduh  dan meng-upload file, memperbarui serta menghapus dirinya sendiri.

Menurut pengamatan Kaspersky Lab, jumlah organisasi yang ditargetkan oleh kelompok Hellsing ini mendekati 20 organisasi.

Target Hellsing

Kaspersky Lab telah mendeteksi dan memblokir malware Hellsing di Malaysia, Filipina, India, Indonesia dan Amerika Serikat, dengan sebagian besar korban berada di Malaysia dan Filipina.

Para penyerang juga sangat selektif dalam hal jenis organisasi yang ditargetkan, mencoba untuk menginfeksi sebagian besar pemerintah dan badan diplomatik.

"Penargetan kelompok Naikon oleh kelompok Hellsing ini, seperti semacam pembalasan dendam dengan memburu vampir gaya "Empire Strikes Back", sangat menarik.

Di masa lalu, kita telah melihat kelompok APT sengaja saling serang satu sama lain sambil mencuri buku alamat dari para korban dan kemudian mengirimkan email masal kepada semua orang yang terdapat dalam daftar tersebut.

Namun, mengingat sasaran dan asal serangan ini, maka tampaknya lebih mungkin bahwa hal ini adalah contoh dari serangan APT kepada APT lain yang memang disengaja," kata Costin Raiu, Director of Global Research and Analyst Team Kaspersky Lab.

Menurut analisis Kaspersky Lab aktor ancaman Hellsing telah aktif setidaknya sejak 2012 dan tetap aktif sampai sekarang.

Perlindungan

Untuk melindungi diri terhadap serangan kelompok Hellsing, Kaspersky Lab menganjurkan untuk mengikuti langkah-langkah dasar keamanan sebagai berikut:

• Jangan membuka lampiran yang mencurigakan dari orang yang Anda tidak tahu
• Hati-hati terhadap arsip dilindungi oleh password yang mengandung SCR atau file executable lain yang terdapat di dalamnya
• Jika Anda merasa tidak yakin tentang lampiran tersebut, cobalah untuk membukanya di sandbox
• Pastikan Anda memiliki sistem operasi modern dengan semua patch telah diinstal
• Memperbarui semua aplikasi pihak ketiga seperti Microsoft Office, Java, Adobe Flash Player dan Adobe Reader

Produk Kaspersky Lab berhasil mendeteksi dan memblokir malware yang digunakan oleh kedua pelaku baik Hellsing dan Naikon.

Untuk mempelajari lebih lanjut tentang aktor ancaman Hellsing dan kampanye spionase “Empire Strikes Back” silahkan kunjungi Securelist.com