Jakarta — Para peneliti baru saja menemukan kampanye spionase siber yang dilancarkan terhadap perusahaan minyak besar Filipina, organisasi militer Taiwan dan perusahaan energi Kanada, serta target di Brazil, Israel, Mesir dan Nigeria.
Seperti yang dimuat di laman Chip.co.id, Jum’at (21/09) menyebutkan, peneliti keamanan dari Counter Threat Unit Dell SecureWorks, Silas Cutler mengatakan, malware yang disebut “Mirage” itu membuka backdoor di komputer yang menunggu instruksi dari penyerang.
Korban secara hati-hati ditargetkan dengan apa yang disebut e-mail “spear-pishing” dengan lampiran yang dirancang agar terlihat dan berperilaku layaknya dokumen PDF. Namun, dokumen tersebut sebenarnya adalah file yang bisa berjalan sendiri yang akan membuka file PDF yang tertanam di dalamnya untuk melepaskan trojan Mirage. Sesudah menginfeksi, trojan ini kemudian menyamarkan komunikasi “phone home” agar menyerupai Google Searches dengan menggunakan Secure Socket Layers (SSL) agar tidak terdeteksi.
Para peneliti CTU mampu mengambil alih domain yang digunakan dalam kampanye yang tak lagi terdaftar atau telah kedaluwarsa dan mereka menggunakannya untuk membuat “sinkhole” yang dirancang untuk menerima seluruh komunikasi dari komputer yang terinfeksi. Dengan berpura-pura menjadi server pengendali mereka mengetahui bahwa ada 80 alamat IP unik yang terinfeksi, melibatkan sebanyak 120 komputer individual.
“Analisis lebih dalam terhadap permintaan phone-home dan hubungannya dengan situs jejaring sosial memungkinkan peneliti CTU untuk mengidentifikasi individu yang terinfeksi Mirage. Korbannya selevel eksekutif manager keuangan perusahaan minyak Filipina,” demikian laporan CTU.
Peneliti tak bisa menyebutkan data apa yang diincar para penyerang, tetapi tidak sulit untuk berspekulasi karena Filipina kini mengincar hak eksplorasi minyak dan gas di Laut China Selatan. Tidak jelas siapa otak di balik serangan tersebut, namun Direktur Riset Malware di Dell SecureWorks, Joe Stewart yakin mereka “Didanai dengan baik dan sangat aktif.”
Meski menolak menyebut dalang serangan itu, dalam laporannya peneliti CTU mengatakan software proxy yang digunakan dalam beberapa server pengendali dibuat oleh kelompok hacker China yang disebut “Honker Union of China.”
“Kami memotong rantai komando mereka, jadi kami tidak tahu dokumen apa yang mereka cari,” kata Stewart. “Biasanya itu informasi yang kompetitif.”
Para peneliti juga yakin siapa pun yang bertanggung jawab atas aksi spionase ini juga terlibat dalam aksi serupa awal tahun ini yang menargetkan kementerian, perusahaan minyak, kedutaan besar, lembaga keselamatan nuklir dan lembaga lainnya di Vietnam. Alamat IP pengendali yang digunakan dalam serangan Mirage dimiliki oleh China Beijing Province Network, demikian juga alamat IP yang digunakan dalam malware “Sin Digo” yang disebarkan sebelumnya.[]
