TRIBUNNEWS.COM, JAKARTA - Bersama dengan Novetta dan mitra lainnya, Kaspersky Lab dengan bangga mengumumkan kontribusinya terhadap Operasi Blockbuster.

Tujuan dari operasi ini adalah untuk menghentikan aktivitas kelompok Lazarus – sebuah entitas yang sangat berbahaya dan bertanggung jawab atas kerusakan data serta aksi spionase siber konvensional terhadap beberapa perusahaan di seluruh dunia.

Para penjahat siber ini diyakini menjadi dalang di balik serangan terhadap Sony Pictures Entertainment pada tahun 2014, serta operasi DarkSeoul yang menargetkan media dan lembaga keuangan di tahun 2013.

Setelah serangan yang sangat merusak terhadap perusahaan produksi film terkenal, Sony Pictures Entertainment (SPE) pada tahun 2014, Global Research and Analysis Team (GReAT) dari Kaspersky Lab mulai melakukan penyelidikan atas sampel malware Destover yang digunakan dalam serangan itu.

Hal ini mengarah ke penelitian yang lebih luas lagi yaitu ke kelompok yang terkait aksi spionase siber dan sabotase siber yang menargetkan diantaranya lembaga keuangan, media, dan perusahaan manufaktur.

Berdasarkan karakteristik umum dari kelompok malware yang berbeda-beda, para ahli perusahaan berhasil mengelompokkan puluhan serangan terisolasi dan menentukan bahwa mereka semua berasal dari satu pelaku ancaman, para anggota lainnya dalam Operasi Blockbuster ini juga mengkonfirmasikan hal serupa menurut analisia mereka masing-masing.

Kelompok hacker Lazarus sampai saat ini masih aktif dan diyakini memulai aksinya bahkan beberapa tahun sebelum terjadinya insiden SPE. Kaspersky Lab dan peneliti lainnya di Operasi Blockbuster mengkonfirmasi adanya hubungan antara malware yang digunakan dalam berbagai serangan, seperti di Operasi DarkSeoul dimana tergetnya adalah perbankan dan media penyiaran yang berbasis di Seoul, Operasi Troy yang menjadi targetnya adalah pasukan militer di Korea Selatan, dan tidak ketinggalan insiden Sony Pictures.

Selama penyelidikan, peneliti Kaspersky Lab saling bertukar temuan awal dengan AlienVault Labs. Pada akhirnya peneliti dari kedua perusahaan memutuskan untuk menyatukan upaya dan melakukan investigasi secara bersama-sama.

Pada saat yang bersamaan, aktivitas kelompok Lazarus juga sedang diselidiki oleh banyak perusahaan dan spesialis keamanan lainnya. Salah satu dari perusahaan ini, Novetta memulai sebuah inisiatif yang bertujuan untuk mempublikasikan kemampuan yang paling sering digunakan dan berdampak luas dari aktivitas kelompok Lazarus.

Sebagai bagian dari Operasi Blockbuster, bersama-sama dengan Novetta, AlienVault Labs, dan mitra lainnya, Kaspersky Lab menerbitkan temuannya untuk kepentingan masyarakat luas.

Dengan menganalisis beberapa sampel malware yang terdeteksi di berbagai insiden keamanan siber serta menciptakan aturan-aturan pendeteksian yang khusus, Kaspersky Lab, AlienVault dan spesialis lain di Operasi Blockbuster mampu mengidentifikasi sejumlah serangan yang memang dilakukan oleh kelompok Lazarus.

Link dari beberapa sampel hingga merujuk ke satu kelompok ditemukan pada saat analisis metode yang digunakan oleh penjahat siber ini. Secara khusus, ditemukan bahwa para penjahat siber secara aktif mendaur ulang kode – maksudnya adalah menggunakan kembali fragmen kode dari satu program berbahaya untuk digunakan di program berbahaya lainnya.

Selain itu, para peneliti juga melihat adanya kesamaan dalam modus operandi penyerang. Ketika menganalisis artefak dari serangan yang berbeda-beda, mereka menemukan bahwa droppers - file khusus yang digunakan untuk menginstal berbagai variasi dari payload jahat – kebanyakan menyimpan payload jahat mereka dalam arsip ZIP yang dilindungi kata sandi. Sementara kata sandi untuk arsip yang digunakan dalam serangan yang berbeda-beda juga sama di hard coding dalam droppers.

Proteksi terhadap kata sandi dilakukan dalam upaya mencegah sistem secara otomatis mengambil dan menganalisis payload, tetapi dalam kenyataannya hal itu malah membantu para peneliti untuk mengidentifikasi kelompok.

Sebuah metode khusus digunakan oleh penjahat siber untuk mencoba menghapus jejak keberadaan mereka dari sistem yang terinfeksi, bersama dengan beberapa teknik yang mereka gunakan untuk menghindari deteksi oleh produk anti-virus juga memberi peneliti sarana tambahan serangan mengelompokan serangan-srangan yang terkait.

Pada akhirnya puluhan serangan ditargetkan yang berbeda-beda, dimana para pelakunya tidak diketahui, merujuk ke satu pelaku ancaman.

Analisis tanggal kompilasi dari sampel menunjukkan bahwa sampel paling awal kemungkinan ditemukan sejak tahun 2009, lima tahun sebelum serangan terkenal terhadap Sony Pictures. Jumlah sampel baru bahkan tumbuh secara signifikan sejak 2010.

Ini mencirikan kelompok Lazarus sebagai kelompok hacker yang stabil dan telah lama beraksi. Berdasarkan ekstraksi metadata dari sampel yang diselidiki, sebagian besar program berbahaya yang digunakan oleh kelompok Lazarus tampaknya telah dikumpulkan selama jam kerja zona waktu GMT+ 8 - GMT+ 9.

"Seperti yang sudah kami prediksikan bahwa jumlah serangan malware wiper akan terus bertambah. Malware semacam ini terbukti menjadi jenis senjata siber paling efektif. Kemampuan untuk merusak ribuan komputer hanya dengan menekan sebuah tombol menjadi imbalan yang setimpal bagi tim Computer Network Exploitation yang memang bertugas untuk memberikan informasi  menyesatkan (disinformasi) dan melakukan perusakan terhadap perusahaan yang menjadi sasaran. Namun,  adanya kerjasama dengan mitra lain di industri ini, kami merasa bangga dapat mengungkapkan aksi tidak bermoral dari para penjahat siber yang  memanfaatkan teknik-teknik yang menghancurkan," papar  Juan Guerrero, senior security researcher di Kaspersky Lab.

"Para pelaku kejahatan ini memiliki keterampilan dan tekad yang diperlukan untuk melakukan aksi spionase siber dengan tujuan mencuri data atau menyebabkan kerusakan. Ketika hal tersebut digabungkan dengan penggunaan teknik disinformasi dan penipuan, mereka berhasil melakukan beberapa aksi kejahatan siber dalam beberapa tahun terakhir," kata Jaime Blasco, chief scientist, AlienVault. "Operasi Blockbuster adalah contoh nyata dengan berbagi informasi dan kolaborasi antar perusahaan dapat menaikkan standar kesulitan menjadi lebih tinggi sehingga mencegah para penjahat siber ini terus melanjutkan aksinya."

"Melalui Operasi Blockbuster, Novetta, Kaspersky Lab dan mitra lainnya terus berupaya untuk membangun sebuah metodologi yang mampu menghentikan aksi global dari kelompok hacker serta mencoba meminimalkan serangan sehingga tidak membuat kerusakan yang lebih besar," kata Andre Ludwig, senior technical director, Novetta Threat Research and Interdiction Group.

"Tingkat analisis teknis mendalam yang dilakukan dalam Operasi Blockbuster merupakan hal yang jarang terjadi. Apalagi berbagi temuan dengan mitra lainnya di industri ini agar kita semua mendapatkan manfaat dari pemahaman yang bertambah, bisa dibilang kecil kemungkinannya untuk terjadi."

Untuk mengetahui lebih lanjut temuan Kaspersky Lab tentang kelompok Lazarus silahkan mengunjungi Securelist.com

Untuk mengetahui lebih lanjut temuan Novetta tentang kelompok Lazarus silahkan mengunjungi https://www.operationblockbuster.com/index.html