Dikutip dari medcom.id, Operasi serangan siber memanfaatkan backdoor pada sebuah malware dikabarkan menargetkan diplomat dan pegawai pemerintah di dunia.
Grup Advanced Persistent Threat (APT) Ke3chang diduga beroperasi di luar Tiongkok dan telah melakukan pemata-mataan menggunakan Remote Access Trojan (RAT) dan malware lain sejak setidaknya 2010.
Peneliti keamanan siber di ESET kini menemukan serangan baru dari Ke3chang — yang juga dikenal dengan nama APT 15 — yang menggunakan versi baru dari malware Ketrican mereka. Selain itu, mereka juga menggunakan backdoor baru yang disebut Okrum.
Para kriminal ini menargetkan badan diplomat dan institusi pemerintah lain di negara-negara di Eropa serta Amerika Selatan dan Tengah. Slovakia tampaknya merupakan salah satu target utama Ke3chang. Namun, mereka juga menargetkan Belgia, Kroasia, Republik Ceko di Eropa serta Brasil, Chili, dan Guatemala di Amerika.
Berdasarkan perilaku grup itu sebelum ini, tampaknya tujuan serangan mereka kali ini adalah untuk memata-matai negara lain demi kepentingan Tiongkok, menurut laporan ZDNet.
“Tujuan utama sang penyerang kemungkinan adalah pemata-mataan siber. Itulah alasan mengapa mereka memilih target ini,” kata Zuzana Hromcova, peneliti di ESET.
Masih belum diketahui bagaimana Okrum bisa didistribuskan ke target. Namun, loader dari Okrum yang dipasang pada komputer akan memeriksa apakah ia berada di sebuah sandbox. Jika ya, ia akan menghancurkan diri sendiri. Tujuannya adalah untuk memastikan para peneliti tidak bisa mencari informasi tentang serangan ini.
Loader tersebut baru akan memasang malware setelah tombol kiri mouse diklik setidaknya tiga kali. Tampaknya ini merupakan strategi penyerang untuk memastikan bahwa loader itu terpasang pada komputer yang memang digunakan.
Setelah ia beroperasi, Okrum akan mendapatkan akses sebagai administrator dan mengumpulkan informasi tentang komputer yang terinfeksi. Data yang dikumpulkan antara lain nama komputer, username, alamat IP, dan sistem operasi apa yang terpasang.
Malware ini juga akan mengirimkan perintah seperti mengunduh dan mengunggah file. Ini alat yang berguna untuk diam-diam mencuri file dari korban. Selain itu, fitur ini juga bisa digunakan oleh pelaku serangan untuk mengirimkan perintah baru atau memperbarui malware.
