Liputan6.com, Jakarta - Kaspersky Lab mengungkap bahwa sindikat hacker pembobol bank, Carbanak yang diberi nama Carbanak 2.0, telah kembali. Perusahaan keamanan ini juga mengungkapkan dua kelompok hacker lain yang juga menggunakan gaya serupa yaitu Metel dan GCMAN.
Mereka disebut menyerang organisasi keuangan menggunakan gaya pengintaian secara terselubung, malware yang dimodifikasi khusus, perangkat lunak resmi serta penggunaan cara-cara baru dan inovatif untuk mencuri uang.
Kelompok hacker Metel memiliki banyak trik, tetapi yang membuatnya sangat menarik adalah pola serangan yang diadopsi sangat pintar.
Dengan mendapatkan kontrol atas mesin dalam bank yang memiliki akses ke transaksi uang (misalnya komputercallcenter /support), kelompok ini dapat mengotomatisasi rollback dari transaksi ATM.
Baca Juga
Kemampuan rollback memastikan bahwa saldo pada kartu debit tetap sama terlepas dari jumlah transaksi ATM yang dilakukan. Dalam contoh yang diamati sampai saat ini, kelompok hacker ini mencuri uang dengan berkeliling kota di Rusia pada malam hari dan mengosongkan mesin ATM milik sejumlah bank.
Mereka berulang kali menggunakan kartu debit sama dari bank yang telah diretas. Dalam waktu satu malam saja, mereka berhasil membawa kabur sejumlah besar uang.
"Saat ini, fase aktif dari serangan siber semakin singkat. Ketika para penjahat siber ini sangat terampil dalam operasi tertentu, maka mereka hanya membutuhkan beberapa hari atau minggu saja untuk mengambil apa yang mereka inginkan kemudian melarikan diri," ungkap Sergey Golovanov, Principal Security Researcher at Global Research & Analysis Team Kaspersky Lab melalui keterangan resminya.
Selama penyelidikan forensik, para ahli Kaspersky Lab menemukan bahwa aktor di belakang kelompok Metel mencapai infeksi awal melalui email spear-phishing yang dibuat secara khusus dengan lampiran berbahaya, dan menggunakan exploit pack Niteris, menargetkan kerentanan dalam browser korban.
Infeksi Semakin Meluas
Infeksi Semakin Meluas
Setelah berada dalam jaringan, penjahat siber menggunakan alat yang resmi dan lolos tes penetrasi untuk dapat bergerak secara lateral, membajak pengontrol domain lokal, dan akhirnya mencari dan mendapatkan kontrol atas komputer yang digunakan oleh karyawan bank yang bertanggung jawab untuk pemrosesan kartu pembayaran.
Metel masih tetap aktif dan penyelidikan akan aktivitasnya masih terus berlangsung. Sejauh ini tidak ada serangan di luar Rusia yang telah diidentifikasi. Namun, hal ini tetap ada kemungkinan bahwa infeksi ini akan semakin jauh lebih luas lagi dan perbankan di seluruh dunia disarankan untuk secara proaktif memeriksa infeksi ini.
Ketiga kelompok hacker ini diidentifikasi bergeser ke arah penggunaan malware yang disertai dengan perangkat lunak resmi dalam aksi penipuan mereka.
Mereka beranggapan, mengapa harus membuat banyak malware dan peralatan khusus, jika utilitas resmi bisa sama efektif dan berbahaya, dan juga jauh lebih sedikit memicu alarm?
Tetapi dalam hal kerahasiaan, para aktor di belakang kelompok hacker GCMAN bahkan melangkah lebih jauh lagi. Terkadang mereka berhasil menyerang sebuah organisasi tanpa menggunakan malware, hanya dengan menggunakan alat resmi dan telah lolos uji penetrasi saja.
Dalam kasus yang telah diselidiki ahli Kaspersky Lab, terlihat bahwa kelompok GCMAN menggunakan utilitas Putty, VNC, dan Meterpreter untuk bergerak secara lateral melalui jaringan sampai para penjahat ini mencapai sebuah mesin yang dapat digunakan untuk mentransfer uang ke layanan e-currency tanpa memperingatkan sistem perbankan lainnya.
Advertisement
Target Tak Hanya Perbankan
Target Tak Hanya Perbankan
Dalam satu serangan yang diamati oleh Kaspersky Lab, penjahat siber berada di jaringan selama satu setengah tahun sebelum melakukan pencurian. Pecahan uang yang ditransfer sebesar US$ 200, batas atas untuk pembayaran anonim di Rusia.
Setiap menit, CRON scheduler meluncurkan script berbahaya, dan sejumlah uang lainnya dipindahkan ke rekening e-currency milik penjahat siber. Perintah transaksi dikirim langsung ke upstream payment gateway bank dan tidak akan muncul di sistem internal bank lainnya.
Dan yang terakhir, Carbanak 2.0 menandai kemunculan kembali kelompok hacker Carbanak, dengan alat dan teknik yang sama tetapi profil korban yang berbeda dan cara-cara inovatif untuk mencuri uang.
Pada 2015, target Carbanak 2.0 tidak hanya perbankan, tapi departemen penganggaran dan keuangan dari organisasi yang menjadi target mereka.
Di salah satu contoh yang diamati oleh Kaspersky Lab, kelompok Carbanak 2.0 ini mengakses lembaga keuangan, kemudian melakukan perubahan data-data sah kepemilikan dari sebuah perusahaan besar.
Informasi ini dimodifikasi sehingga nama penjahat siber tercantum sebagai pemegang saham perusahaan dan menampilkan informasi mengenai identitas palsu mereka.
Serangan Kian Agresif
Serangan Kian Agresif
"Serangan terhadap lembaga keuangan ditemukan pada 2015, menunjukkan tren yang mengkhawatirkan dari penjahat siber semakin agresif menggunakan serangan bergaya APT. Kelompok Carbanak merupakan yang pertama dari banyak lainnya," terang Golovanov.
Penjahat siber, tambahnya, sekarang belajar dengan cepat bagaimana menggunakan teknik-teknik terbaru dalam aksi mereka, dan kita melihat lebih banyak dari mereka mulai bergeser dari menyerang pengguna ke menyerang bank secara langsung. Logika mereka adalah sederhana: di situlah uang berada.
"Produk Kaspersky Lab berhasil mendeteksi dan memblokir malware yang digunakan oleh para aktor ancaman Carbanak 2.0, Metel, dan GCMAN. Perusahaan juga merilis Indicators of Compromise (IOC) yang sangat penting dan data lainnya untuk membantu organisasi mencari jejak serangan kelompok hacker ini di jaringan perusahaan mereka," tutup Golovanov.
(Isk/Ysl)
Advertisement