Cyberthreat.id – Namanya Kobalos. Makhluk kecil dalam mitologi Yunani. Nakal banyak akal, dan suka menipu manusia. Seperti mitos itulah analogi Kabalos dalam ruang siber. Bedanya, di era Yunani kuno keberadaannya sebatas mitos, namun dalam ruang siber menjadi fakta kejahatan siber. Malware Kobalos membidik server milik lembaga pemerintahan dan cluster komputasi berkinerja tinggi milik jaringan universitas  

Perusahaan keamanan dunia maya ESET menabalkan nama malware Kobalos, disebabkan ukuran kode kecil dan banyak triknya. Laman The Hacker News, Rabu (3 Februari 2021) menuliskan, selain membidik pemerintahan dan universitas, Kobalos juga menyerang vendor keamanan endpoint, dan penyedia layanan internet.

Infeksi Kobalos diyakini telah dimulai pada akhir 2019 dan sejak itu terus aktif sepanjang tahun 2020. Menurut peneliti, serangan backdoors baru itu menempatkan si penyerang pada tahap kemampuan menjalankan perintah sewenang-wenang pada sistem dari jarak jauh.

"Kobalos adalah generic backdoor dalam arti berisi perintah yang tidak mengungkapkan maksud para penyerang," kata peneliti Marc-Etienne M. Léveillé dan Ignacio Sanmillan dalam analisisnya pada Selasa. "Singkatnya, Kobalos memberikan akses jarak jauh ke sistem file, memberikan kemampuan untuk menelurkan sesi terminal, dan memungkinkan koneksi proxy ke server lain yang terinfeksi Kobalos."

Selain beroperasi pada target tingkat tinggi, ESET mengatakan malware tersebut mampu membidik mesin Linux, FreeBSD, Solaris, dan mungkin AIX dan Windows, dengan referensi kode yang mengisyaratkan warisan sistem operasi Windows 3.11 dan Windows 95.

Namun peneliti belum mampu mengungkap vektor awal yang ditaklukkan yang digunakan untuk menyebarkan malware dan tujuan akhir si penyerang. "Kami belum menemukan petunjuk yang menunjukkan apakah mereka mencuri informasi rahasia, mengejar keuntungan moneter, atau mengejar sesuatu yang lain," kata para peneliti.

Peneliti tak menemukan artefak malware lain pada sistem, juga tidak ada bukti yang berpotensi mengungkapkan maksud penyerang. Tetapi peneliti menemukan malware multi-platform itu menyimpan beberapa teknik yang tidak biasa, termasuk fitur yang dapat mengubah server yang disusupi menjadi server perintah-dan-kontrol (C&C) untuk host lain yang disusupi oleh Kobalos.

Dengan kata lain, The Hacker News menyebutkan, mesin yang terinfeksi dapat digunakan sebagai proxy yang terhubung ke server lain yang disusupi, yang kemudian dapat dimanfaatkan oleh operator untuk membuat sampel Kobalos baru yang menggunakan server C&C baru ini untuk membuat rantai proxy yang terdiri dari beberapa server yang terinfeksi untuk menjangkau target server mereka.

Untuk mempertahankan stealth, Kobalos mengautentikasi koneksi dengan mesin yang terinfeksi menggunakan sandi 32-byte, kemudian dienkripsi dengan kunci pribadi RSA 512-bit. Selanjutnya, satu set kunci RC4 digunakan - masing-masing untuk lalu lintas masuk dan lalu lintas keluar - untuk komunikasi dengan server C&C.

Backdoor juga memanfaatkan mekanisme kebingungan yang kompleks untuk menggagalkan analisis forensik dengan memanggil kode secara rekursif untuk melakukan berbagai subtugas.

"Banyaknya fitur yang diterapkan dengan baik dan teknik penghindaran jaringan menunjukkan bahwa penyerang di belakang Kobalos jauh lebih berpengetahuan daripada pembuat malware biasa yang menargetkan Linux dan sistem non-Windows lainnya," kata para peneliti.

"Target mereka, yang cukup terkenal, juga menunjukkan bahwa tujuan dari operator Kobalos bukanlah untuk mengkompromikan sistem sebanyak mungkin. Jejak kecil dan teknik penghindaran jaringannya dapat menjelaskan mengapa tidak terdeteksi sampai kami mendekati korban dari hasil pemindaian seluruh internet kami."

Cara kerja Kobalos di dunia maya ini hampir mirip dengan mitologi. Kobalos, versi Yunani kuno, adalah sahabat Dionysus dan dapat berubah wujud sebagai Dionysus dengan menyamar sebagai Choroimanes-Aiolomorphos.

Menurut satu mitos, Kobalos merampok Herakles saat dia tidur. Ketika tertangkap, Herakles justru menyukai Kobalos sebab bertampang lucu dan menghadiahkannya kepada Ratu Omphale, Lydia. Mungkin karena hadiah untuk sang ratu itulah Kolabos juga disebutkan peri lucu, peri kecil yang bersifat falus.

Apa itu falus? Ini nuansa cabul yang tak elok dijelaskan secara detail di sini.[]