Cyberthreat.id – Badan Siber dan Sandi Negara (BSSN) menemukan perangkat lunak jahat (malware) pencuri informasi yang memicu kebocoran data sepanjang 2020. (Baca: 5 Malware Pencuri yang Memicu Insiden Data Breach pada 2020)

Dari enam malware yang ditemukan itu, salah satunya, bernama “Russian Password Stealer”.

Dalam laporan tahunan 2020, Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas) mengatakan, “Russian Password Stealer” memicu kebocoran data sebanyak 44.531 kali.

Seperti namanya, malware tersebut diduga terkait dengan peretas asal Rusia. Disebutkan dalam laporan itu, malware menargetkan atau menginfeksi pengguna Windows.

Cara peretas menginfeksi dengan mengirimkan malware melalui Exploit Kit, di mana secara otomatis dan diam-diam mengeksploitasi kerentanan pada mesin korban saat menjelajahi web.

Malware tersebut menargetkan informasi seperti kata sandi, riwayat penelusuran, mata uang kripto (cryptocurrency), pesan pribadi, tangkapan layar, dan data pribadi lainnya dari perangkat pengguna yang terinfeksi.

BSSN menuliskan mereka yang berada di balik malware tersebut dikenal dengan geng berjuluk "CyberVor"—diambil dari bahasa Rusia yang berarti “pencuri”. Nama itu diberikan oleh Hold Security, perusahaan keamanan informasi dan intelijen ancaman AS.

Pertama kali “Russian Password Stealer” diumumkan ke publik pada 5 Agustus 2014. Saat itu, Hold Security menemukan bahwa CyberVor telah melakukan aksi pencurian besar-besaran yaitu 1,2 miliar data yang terdiri dari nama pengguna, kata sandi unik, dan lebih dari 500 juta alamat email.

Hold Security waktu itu mengatakan data itu dikumpulkan CyberVor dari 420.000 situs web yang rentan. Data yang dicuri peretas Rusia ini digunakan untuk mengirimkan spam di media sosial seperti Twitter.

Sementara, perusahaan keamanan siber asal Slowakia, ESET, pada 6 Agustus 2014 juga mendeteksi bahwa malware itu dioperasikan oleh sekelompok orang berusia 20-an tahun. Laporan New York Times saat itu juga menyebutkan, anggota CyberVor saling mengenal secara pribadi, tidak hanya secara virtual dan telah beraksi mengirimkan spam amatir sejak 2011. Server-nya pun diperkirakan berada di Rusia.

Pendiri dan Kepala Keamanan Informasi Hold Security, Alex Holden, mengatakan ada pembagian kerja di antara anggota peretas CyberVor layaknya sebuah perusahaan kecil, seperti ada yang bertugas menulis program juga ada yang eksekusi mencuri data. Kemungkinan CyberVor berbagi atau memakai infrastruktur peretas lain yang sudah ada.

CyberVor mencuri informasi kredensial berbekal botnet, yaitu jaringan komputer yang terinfeksi beberapa virus atau malware yang memungkinkan peretas dapat mengontrol atau memantau jaringan tersebut dalam berbagai tingkatan.

Memanfaatkan SQL Injection

Dikutip dari ITGovernance, botnet ini dibeli di pasar gelap oleh CyberVor. Fungsi botnet ini mampu mengidentifikasi kerentanan SQL di situs web yang dikunjungi.

Dalam laporan BSSN disebutkan tugas sederhana dari botnet tersebut yaitu setiap kali mereka mengunjungi situs web apa pun, mereka akan melihat secara cepat apakah situs tersebut rentan terhadap serangan yang disebut Structure Query Language (SQL) Injection.

SQL injection adalah salah satu cara membobol aplikasi dengan cara memodifikasi perintah SQL pada form input aplikasi. Serangan ini juga biasa dikenal dengan teknik eksploitasi celah keamanan pada lapisan basis data untuk mendapatkan query (permintaan) data pada sebuah aplikasi.

Cara sederhana memahami teknik SQL injection melalui form username, misalnya. Form ini harusnya diisi dengan karakter saja, tetapi form tersebut bisa diisi dengan karakter lain. Di sinilah, peretas menyisipkan karakter seperti (:;-,=’) sehingga bisa memasukkan permintaan SQL injection. Akibatnya aplikasi bisa ditembus.

SQL atau Structure Query Language adalah standar manajemen basis data dalam sebuah aplikasi. Maka dari itu, ketika peretas membobol aplikasi dengan teknik ini, mereka bisa mencuri basis data yang ada.

Geng CyberVor dengan botnet-nya menandai situs-situs web yang sekiranya bisa disuntik SQL injection. Berbekal celah di situs web itu, peretas dapat memodifikasi dan mengisinya dengan kode yang memberitahu situs tersebut untuk mencantumkan semua alamat email yang disimpan, data kartu kredit, dan lainnya.

Dalam perkembangannya, botnet pun dapat menginfeksi puluhan, bahkan ratusan ribu perangkat. Hold Security mengatakan bahwa CyberVor tidak membedakan antara situs kecil atau besar, dan tidak hanya menargetkan perusahaan besar, tetapi apa pun situs web yang dikunjungi korbannya.

Laporan BSSN menyebutkan kemungkinan besar data pribadi seperti alamat email, nomor jaminan sosial, kata sandi, bahkan kartu kredit dapat diketahui jika CyberVor berhasil menginfeksi perangkat maupun situs web kita.

BSSN menghimbau pengguna agar menggunakan situs-situs web yang aman ketika memakai internet, dan lebih waspada terhadap situs-situs web yang mengharuskan mengisi informasi bersifat pribadi.

Redaktur: Andi Nugroho