JAKARTA - Bayangkan sebuah alat yang dirancang khusus untuk tugas spionase cyber, yang mampu mengakses komputer kita dengan menggunakan router sebagai port of entry. Dan mendapatkan hak istimewa ke sistem untuk mengendalikan semua hal yang terjadi di dalam perangkat kita. Ini mungkin terdengar seperti naskah film mata-mata, tapi nyata, itu ada dan baru saja ditemukan .

Seperti yang dilansir dari Dark Reading, Jumat (9/3/2018), Ini disebut "Operation Slingshot" dan ini adalah salah satu serangan paling maju dalam beberapa tahun terakhir, yang tampaknya ditujukan pada orang dan institusi yang sangat spesifik, di Timur Tengah dan Afrika. Serangan yang diyakini telah beroperasi setidaknya sejak 2012 dan telah mempengaruhi hampir 100 korban.

Slingshot ditemukan setelah sekelompok peneliti Lab Kaspersky menemukan keylogger di dalam komputer sebuah institusi pemerintah Afrika. Dengan pemantauan perilaku program ini diciptakan untuk melihat apakah file tersebut muncul di tempat lain, yang menyebabkan file yang mencurigakan ditemukan di dalam folder sistem yang disebut "scesrv.dll".

Setelah menganalisa file ini, ditemukan bahwa ia memiliki kode berbahaya di dalamnya yang dapat memperoleh hak istimewa pada sistem melalui "services.exe", jadi ini merupakan malware yang sangat canggih yang berjalan di kernel , sehingga mencapai inti dari komputer yang mengendalikannya tanpa pengguna sekalipun menyadari keberadaannya.

Slingshot memiliki bentuk serangan yang belum pernah terlihat sebelumnya, karena ini adalah sesuatu yang baru yang tidak berdasarkan malware lain yang telah muncul sebelumnya. Oleh karena itu, diyakini bahwa ini adalah alat yang dibuat untuk mengukur oleh para profesional, yang mungkin dibiayai oleh beberapa negara, karena pada awalnya diyakini bahwa itu adalah hacktivisme. Tapi melihat kecanggihan serangan tersebut, teori ini dibuang.

Di antara apa yang telah ditemukan tentang Slingshot adalah kenyataan bahwa infeksi itu berasal dari router yang diretas, yang sarat dengan tautan dinamis berbahaya, yang sebenarnya merupakan program unduhan untuk file lainnya. Saat administrator masuk untuk mengkonfigurasi router, server akan mendownload dan mengeksekusi kode ini di komputer administrator, sehingga menginfeksi seluruh jaringan hanya dalam beberapa menit.

Metode yang digunakan penyerang untuk meretas router masih belum diketahui. Begitu komputer terinfeksi, dua alat canggih seperti Cahnadr dan GollumApp melakukan pekerjaan kotor. Kedua modul terhubung satu sama lain dan mampu mengumpulkan semua informasi dari perangkat dan kemudian mengirimkannya ke penyerang.

Slingshot sering membuat tangkapan layar, mendapatkan data dari apa yang diterima keyboard, data jaringan dan koneksi, kata sandi, perangkat yang terhubung melalui USB, aktivitas desktop, file yang tersimpan dalam clipboard dan banyak lagi. Dan Anda harus ingat bahwa malware ini memiliki akses ke Kernel, jadi Anda memiliki akses ke semuanya .

Tapi bukan itu saja, karena Slingshot juga tahu cara menyembunyikannya. Ini termasuk enkripsi dalam semua modul dan rantainya, ia menghubungkan langsung ke layanan sistem untuk menghindari program keamanan antivirus dan lainnya. Ini menggunakan teknik anti-debugging dan memilih proses di mana akan diaktifkan tergantung pada tingkat keamanan yang terpasang di komputer, agar benar-benar tidak diperhatikan.

Tapi yang paling mengesankan, Slingshot memanfaatkan data yang didapatnya melalui Kernel untuk menyembunyikan komunikasinya dan hubungannya seolah-olah itu adalah protokol yang sah, jadi tidak menimbulkan kecurigaan. Hal ini dilakukan dengan mencegat koneksi nyata untuk kemudian melewati mereka, semua tanpa meninggalkan jejak saat mengendalikan dan menyembunyikan alamat IP.

Investigasi juga menunjukkan bahwa itu adalah versi 6.x, yang menunjukkan bahwa Slingshot telah ada selama beberapa tahun. Ini bisa menjelaskan kompleksitasnya, yang pastinya memerlukan banyak waktu untuk pengembangan dan terutama uang, karena ini adalah karya seni .

Oleh karena itu, diyakini bahwa ada seseorang yang memiliki banyak kekuatan di balik perkembangan mereka, seseorang yang terorganisir dan profesional. Petunjuk tersebut menunjukkan kode berbahasa Inggris, walaupun atribusi yang tepat rumit atau hampir tidak mungkin ditentukan.

Kaspersky ​​memastikan bahwa malware tersebut masih terdeteksi hingga Februari 2018, telah 100 orang yang terkena dampak oleh Slingshot, yang berada di Yaman, Kenya, Afghanistan, Libya, Kongo, Yordania, Turki, Irak, Sudan, Somalia dan Tanzania. Yang terkena dampak ini terutama adalah orang-orang tertentu yang terkait dengan pemerintah dan hanya beberapa organisasi, oleh karena itu diyakini bahwa penelitian ini sangat baik untuk memata-matai anggota tertentu.

Router dari merek Mikrotik adalah yang terpengaruh dan untuk menghindari serangan yang mungkin firmware harus diperbarui ke versi terbaru sesegera mungkin. Inilah satu-satunya cara untuk menjamin penghapusan dan perlindungan terhadap kemungkinan derivatif berdasarkan Slingshot yang mungkin timbul.