Peretas Kimsuky Intip Data Intelijen, Kaspersky Ungkap Modusnya
Aksi peretas
RAKYAT.CO – Disebutkan ada sekelompok peretas diduga disponsori oleh Pemerintah Korea Utara, Kimsuky dan masih aktif berupaya membobol diplomat, lembaga pemikir, hingga jurnalis di Asia Pasifik. Namun, untungnya para pakar mengungkap sejumlah modus dari grup tersebut.
Menurut Peneliti Utama Keamanan Siber untuk Tim Riset dan Analisis Global (GReAT) di Kaspersky Seongsu Park bahwa pihaknya “membuka kedok kampanye spionase siber aktif” kelompok peretas yang kerap merilis serangan canggih (advanced persistent threat) ini hampir 10 tahun lalu.
Tercatatn sejak itu, Kimsuky yang merupakan “kelompok yang disponsori negara”, pernah menargetkan lembaga pemikir (think-tank) Korea Selatan, terus melakukan pembaruan peralatan dan taktik “mengorbankan entitas terkait Korea Utara”
Juga, Park menemukan kelompok itu terus-menerus mengonfigurasi server komando dan kontrol multi-tahap (C2) dengan berbagai layanan hosting komersial yang berlokasi di seluruh dunia.
Server perintah dan kontrol adalah server yang membantu aktor ancaman alias peretas mengendalikan malware mereka dan mengirim perintah jahat ke anggotanya, mengatur spyware, mengirim muatan, dan banyak lagi.
Dampaknya jumlah server itu kian bertambah, dari sebelumnya di bawah 100 server C2 di 2019 menjadi 603 pusat komando berbahaya per Juli 2022.
“Hal ini jelas menunjukkan aktor ancaman akan meluncurkan lebih banyak serangan, mungkin di luar semenanjung Korea,” ujar Park, saat bicara dalam ajang Asia Pacific (APAC) Kaspersky Cyber Security Weekend, Phuker, Thailand, pekan lalu.
“Sejarahnya menunjukkan lembaga pemerintah, entitas diplomatik, media, dan bahkan bisnis mata uang kripto di APAC harus waspada terhadap ancaman tersembunyi ini,” katanya.
Cybersecurity & Infrastructure Security Agency (CISA) AS menyebut Kimsuky sebagai kelompok APT Korea Utara yang menargetkan berbagai korban di seluruh dunia. Tujuannya untuk mendapatkan data intelijen tentang “berbagai topik yang menarik bagi pemerintah Korea Utara”.
Menurut Park Kaspersky mengamati salah satu gelombang serangan Kimsuky, yang juga dikenal sebagai Klaster GoldDragon ini, pada awal 2022 yang menargetkan jurnalis dan entitas diplomatik serta akademik di Korea Selatan.
Dari grup ini memulai rantai serangannya dengan mengirimkan email spear-phishing (menyamar sebagai orang/perusahaan tertentu untuk mendapat akses ke data pribadi target) yang berisi dokumen Word.
Contoh dokumen Word yang digunakan dalam serangan ini memperlihatkan keterkaitan dengan masalah geopolitik di Semenanjung Korea.
Kaspersky melihat isi dokumen umpan yang beragam topiknya, antara lain agenda “Konferensi Kepemimpinan Asia 2022”, permintaan honorarium, hingga daftar riwayat hidup diplomat Australia.
Adapun rincian modus server C2:
1. Pelaku mengirimkan email spear-phishing kepada calon korban untuk mengunggah dokumen tambahan.
2. Jika link tersebut diklik, korban terkoneksi dengan server C2 tahap pertama, dengan alamat email sebagai parameter.
3. Server C2 tahap pertama memverifikasi alamat email yang masuk. Jka benar, dokumen berbahaya dikirimkan. Script tahap pertama juga meneruskan alamat IP korban ke server tahap berikutnya.
4. Saat dokumen dibuka, korban terhubung ke server C2 yang kedua.
5. Script yang sesuai pada server C2 kedua memeriksa alamat IP yang diteruskan dari server tahap pertama untuk memeriksa apakah itu dari korban yang sama atau bukan.
6. Selain itu, operator bergantung pada beberapa proses lain untuk mengirimkan muatan berikutnya dengan hati-hati, seperti memeriksa jenis OS (sistem operasi) dan User-Agent String (bagian identifikasi perangkat yang meminta konten online) yang ditentukan.
Lebih jauh Park menambahkan bahwa teknik penting lainnya yang digunakan Kimsuky penggunaan proses verifikasi klien untuk mengonfirmasi bahwa korban yang relevan.
“Kelompok Kimsuky terus mengembangkan skema infeksi malware dan mengadopsi teknik baru untuk menghalangi analisis,” ujarnya.
Terdapat kesulitan melacak kelompok ini adalah sulitnya memperoleh rantai infeksi penuh. Seperti yang dapat kita lihat dari penelitian ini, baru-baru ini, aktor ancaman mengadopsi metodologi verifikasi korban di server komando dan kontrolnya.
“Jika kami menganalisis server penyerang dan malware dari sisi korban, kami dapat sepenuhnya memahami bagaimana pelaku ancaman mengoperasikan infrastruktur mereka dan jenis teknik yang mereka gunakan,” tandas Park.[/8]
