Waspada, Serangan Hacker Terbaru Targetkan Windows, macOS, dan Linux

Liputan6.com, Jakarta - Serangan baru kembali ditemukan, kali ini menargetkan sistem operasi Windows, macOS, dan Linux. Pergerakan serangan yang disebut C2 framework (Alchimist) ini ditemukan oleh peneliti keamanan siber Cisco Talos.

Frameworks dan semua file dalam Alchimist adalah executable 64-bit yang ditulis dalam GoLang, bahasa pemrograman yang membuat kompatibilitas silang antara sistem operasi yang berbeda jauh lebih mudah.

Alchimist menawarkan antarmuka berbasis web menggunakan bahasa China Sederhana, dan sangat mirip dengan Manjusaka, kerangka kerja serangan pasca-eksploitasi yang baru-baru ini muncul dan semakin populer di kalangan peretas China.

Peneliti Cisco Talos yang menemukan kedua frameworks itu menyoroti kesamaan mereka, tetapi ada perbedaan teknis yang cukup untuk menyimpulkan dalam pengembangkannya. Demikian sebagaimana dikutip dari Bleeping Computer, Minggu (16/10/2022).

Alchimist memberi operator kerangka kerja yang mudah digunakan, memungkinkan mereka menghasilkan dan mengonfigurasi muatan yang ditempatkan pada perangkat yang terinfeksi untuk mengambil tangkapan layar dari jarak jauh, menjalankan perintah arbitrer, dan melakukan eksekusi shellcode jarak jauh.

Kerangka kerja ini mendukung pembuatan mekanisme infeksi khusus untuk menyuntikkan 'Insekt' trojan akses jarak jauh (remote access trojan/RAT) pada perangkat dan membantu peretas membuat PowerShell (untuk Windows) dan wget (untuk Linux) dalam penyebaran RAT.

Muatan Insekt dapat dikonfigurasi pada antarmuka Alchimist menggunakan beberapa parameter seperti C2 IP/URL, platform (Windows atau Linux), protokol komunikasi (TLS, SNI, WSS/WS), dan apakah akan berjalan sebagai daemon atau tidak.

C2 di-ping sepuluh kali setiap detik, dan jika semua upaya koneksi gagal, malware mencoba lagi setelah satu jam.

Sementara server Alchemist C2 mengirimkan perintah untuk dieksekusi, di mana implan Insekt berjalan pada sistem Windows dan Linux yang terinfeksi.

Serangan hacker jahat yang dapat dilakukan oleh implan Insekt meliputi:

• Memperolah ukuran file
• Mendapatkan informasi OS
• Jalankan perintah sewenang-wenang melalui cmd.exe atau bash
• Meningkatkan implan Insekt
• Jalankan perintah sewenang-wenang sebagai pengguna yang berbeda
• Mulai/berhenti mengambil tangkapan layar

Sebelumnya, kelompok hacker yang diyakini berbasis di Rusia, memaksa sekitar 14 situs web publik untuk bandara di Amerika Serikat (AS) untuk offline.

Situs web LaGuardia, O'Hare, dan LAX adalah termasuk di antara yang ditargetkan hacker, dan sebagian besar dari mereka telah kembali online. Demikian seperti dikutip dari Engadget, Selasa (11/10/2022).

Seorang pejabat senior pemerintah AS mengatakan bahwa kontrol lalu lintas udara, komunikasi internal bandara, dan operasi penting lainnya tidak terpengaruh.

Pun demikian, menurut laporan ABC News, pelancong yang mencari waktu tunggu keamanan atau informasi lain di bandara AS yang kena serangan mungkin merasa tidak nyaman.

Seorang juru bicara LAX menegaskan bahwa, "Tidak ada sistem bandara internal yang terganggu dan tidak ada gangguan operasional."

"Pada hari Senin 10 Oktober 2022 sekitar pukul 03.00, terjadi insiden penolakan layanan yang berlangsung selama 15 menit--mengakibatkan penundaan intermiten mengakses situs web bandara LaGuardia," kata juru bicara Otoritas Bandara kepada ABC News.

"Sistem pertahanan keamanan siber Otoritas Bandara mendeteksi insiden dengan cepat, mengatasi masalah dalam 15 menit, dan memungkinkan kami memperingatkan orang lain dengan segera memberi tahu otoritas federal. Tidak ada dampak operasional pada fasilitas Otoritas Bandara mana pun," sambungnya.

Insiden itu, yang dikatakan sebagai akibat dari serangan distributed denial of service (DDoS), telah diafiliasikan pada kelompok peretas pro-Rusia bernama Killnet.

Namun, para peretas tidak diyakini sebagai aktor pemerintah. Tidak ada bukti bahwa pemerintah Rusia terlibat dalam insiden ini. Demikian kata seorang analis keamanan siber.

Serangan DDoS sendiri adalah sebuah serangan siber yang bertujuan menutup akses suatu jaringan, sistem, maupun aplikasi berbasis web.

Badan Keamanan Siber dan Infrastruktur (Cybersecurity and Infrastructure Security Agency/CISA) bersama Administrasi Keamanan Transportasi sedang memantau situasi. CISA mencatat tidak ada kekhawatiran tentang gangguan operasional bandara.