JAKARTA (IndoTelko) - Pada musim gugur 2020, peneliti Kaspersky mengidentifikasi dua insiden APT yang menargetkan entitas yang terkait dengan penelitian COVID-19 - badan Kementerian Kesehatan dan perusahaan farmasi.
Para ahli Kaspersky menilai dengan keyakinan tinggi bahwa aktivitas tersebut dapat dikaitkan dengan kelompok terkenal Lazarus.
Seiring dengan berlanjutnya pandemi dan tindakan pembatasan di seluruh dunia, banyak pihak yang terlibat untuk berusaha mempercepat pengembangan vaksin dengan cara apa pun yang tersedia. Sementara sebagian besar upaya memiliki tujuan baik, saying terdapat sisi buruk dimana para pelaku kejahatan siber mencoba memanfaatkan ini untuk keuntungan sendiri.
Seiring pelacakan berkelanjutan terhadap kampanye grup Lazarus yang menargetkan berbagai industri, para ahli Kaspersky telah menemukan bahwa aktor tersebut mengejar entitas terkait COVID-19 di musim gugur lalu. Yakni, dua insiden teridentifikasi.
Yang pertama adalah serangan terhadap badan Kementerian Kesehatan. Dua server Windows di organisasi tersebut telah disusupi dengan malware canggih pada 27 Oktober 2020. Malware yang digunakan diketahui oleh Kaspersky, bernama 'wAgent'. Analisis lebih dekat telah menunjukkan bahwa malware wAgent yang digunakan untuk melawan kementerian kesehatan memiliki skema infeksi yang sama dengan malware yang sebelumnya digunakan oleh kelompok Lazarus dalam serangan terhadap bisnis cryptocurrency.
Insiden kedua melibatkan perusahaan farmasi. Menurut telemetri Kaspersky, perusahaan tersebut dibobol pada 25 September 2020. Perusahaan ini sedang mengembangkan vaksin COVID-19 dan juga berwenang untuk memproduksi dan mendistribusikannya.
Kali ini, penyerang menyebarkan malware Bookcode, yang sebelumnya dilaporkan oleh vendor keamanan yang dikaitkan dengan Lazarus, dalam serangan rantai pasokan melalui perusahaan perangkat lunak Korea Selatan. Peneliti Kaspersky juga menyaksikan grup Lazarus melakukan spear-phishing atau menyerang situs web secara strategis untuk mengirimkan malware Bookcode di masa lalu.
Baik malware wAgent dan Bookcode, yang digunakan dalam kedua serangan tersebut, memiliki fungsi yang serupa, seperti backdoor berfitur lengkap. Setelah menerapkan muatan akhir, operator perangkat lunak perusak dapat mengontrol mesin korban dengan hampir semua cara apa pun yang mereka inginkan.
Keterkaitan serangan kelompok Lazarus baru-baru ini
Mengingat diketahui adanya tumpang tindih, peneliti Kaspersky mengonfirmasi dengan penuh keyakinan bahwa kedua insiden tersebut dapat dikaitkan dengan grup Lazarus. Penelitian terkait masih berlangsung.
“Kedua insiden ini mengungkap ketertarikan kelompok Lazarus pada intelijen terkait COVID-19. Meskipun grup ini sebagian besar dikenal karena aktivitas finansialnya, ini adalah pengingat yang baik bahwa grup tersebut juga dapat mengincar penelitian strategis. Kami percaya bahwa semua entitas yang saat ini terlibat dalam aktivitas seperti penelitian vaksin atau penanganan krisis harus waspada terhadap serangan dunia maya,” komentar Pakar keamanan di Kaspersky Seongsu Park.(ak)