Duh, Hacker Darkhotel Kian Ganas Beraksi

darkhotelJAKARTA, PCplus – Tahun lalu, Kaspersky Lab menemukan Darkhotel. Ini adalah grup spionase elit yang terkenal akan aksi inflitrasi jaringan Wi-Fi di hotel-hotel mewah. Tujuan mereka adalah meretas para eksekutif perusahaan tertentu. Darkhotel, kata Kaspersky Lab, ternyata menggunakan zero-day vulnerability milik Hacking Team sejak awal Juli.

“Dari serangan sebelumnya, kita dapat mengetahui bahwa Darkhotel memata-matai CEO, senior vice president, direktur penjualan dan marketing, dan staf R&D dari perusahaan ternama,” jelas Kurt Baumgartner (Principal Security Researcher di Kaspersky Lab).

O ya, Hacking Team sendiri adalah perusahaan yang dikenal sebagai penjual “spyware resmi” untuk beberapa badan pemerintah dan lembaga penegak hukum. Pada 5 Juli, file-file milik Hacking Team bocor. Sejak itu tool yang disediakan oleh Hacking Team untuk pelanggannya dipakai untuk tindak kejahatan. Salah satunya adalah sejumlah exploit yang menargetkan Adobe Flash Player dan Windows OS. Setidaknya satu di antaranya telah diprogram ulang oleh Darkhotel, pemain kuat dalam bidang spionase cyber.

Aksi ini bukanlah satu-satunya serangan zero-day dari Darkhotel. Kaspersky Lab memperkirakan, beberapa tahun belakangan Darkhotel kemungkinan telah meluncurkan serangan zero-day yang menargetkan Adobe Flash Player, dan tampaknya mereka mengeluarkan uang yang tidak sedikit untuk melengkapi gudang persenjataannya. Di tahun 2015, Darkhotel memperluas jangkauan geografisnya ke seluruh dunia, sambil terus menggunakan metode spear phishing ke target-targetnya di Korea Utara dan Selatan, Rusia, Jepang, Bangladesh, Thailand, India, Mozambik, dan Jerman.

Peneliti keamanan di Kasperky Lab mencatat beberapa teknik dan aktivitas baru dari Darkhotel, pelaku advanced persistent threat (APT) yang aktif selama hampir delapan tahun. Pada serangan-serangan di tahun 2014 dan sebelumnya, grup spionase tersebut menyalahgunakan sertifikat digital dengan signature yang sah hasil curian dan menggunakan metode tidak biasa seperti meretas Wi-Fi hotel untuk menempatkan alat mata-mata pada sistem yang ditargetkan.

Di tahun 2015, banyak teknik dan aktivitas ini yang tetap digunakan, tetapi Kaspersky Lab menemukan varian baru dari berkas executable jahat, penggunaan berkelanjutan dari sertifikat curian, penipuan keji dengan teknik social-engineering, dan penggunaan zero-day vulnerability Hacking Team.

Grup Darkhotel tampaknya menyimpan setumpuk sertifikat curian dan menyebarkannya bersamaan dengan downloader dan backdoor untuk mengecoh sistem yang menjadi target mereka. Xuchang Hongguang Technology Co.Ltd adalah perusahaan yang sertifikatnya pernah digunakan oleh Darkhotel dalam serangan sebelumnya.

APT Darkhotel sangat gigih, mencoba untuk spearphish target. Apabila tidak berhasil, ia akan kembali lagi beberapa bulan kemudian dengan skema social-engineering yang sama.

Penggunaan exploit zero-day dari Hacking Team. Tisone360.com, situs yang diretas mengandung beberapa set ‘pintu belakang’ dan exploit. Yang paling menarik di antaranya adalah zero-day vulnerability Flash dari Hacking Team.

Versi 2015 dari downloader Darkhotel bahkan dirancang untuk mengidentifikasi teknologi antivirus dari 27 vendor, dengan tujuan untuk mengelakkannya.

Kabar baiknya, roduk Kaspersky Lab berhasil mendeteksi dan memblokir modul baru dari Darkhotel sebagai Trojan.Win32.Darkhotel dan Trojan-Dropper.Win32.Dapato.

Wiwiek Juwono

Senior Editor di InfoKomputer dan PCplus. Memiliki spesialisasi di penulisan fitur, berita, serta pengujian gadget dan asesori komputer