Cyberthreat.id – Perusahaan keamanan siber asal Slowakia, ESET, mendeteksi aktivitas spionase siber yang bergerak di bawah radar keamanan. Peneliti menyebut geng tersebut dengan sebutan “Gelsemium”.

Geng tersebut mulai terpantau oleh ESET sejak medio 2020 dan, ternyata, memiliki jejak panjang ke belakang di 2014. Sejauh ini, korban dari aksi spionase tersebut berada di Asia yang bergerak di berbagai sektor.

ESET mengatakan, Gelsemium diduga kuat berada di balik aksi serangan rantai pasokan terhadap BigNox dalam sebuah operasi jahat bernama “NightScout”. Target serangan ini di Taiwan, Hong Kong, dan Sri Lanka.

BigNox adalah perusahaan asal Hong Kong yang fokus mengembangkan emulator game Android untuk komputer Windows dan Mac bernama NoxPlayer. Dalam kasus ini, peretas memanfaatkan NoxPlayer sebagai vektor serangan.

Pada Februari lalu, ESET mengatakan, untuk menyebarkan malware spionase, geng tersebut telah menyusup ke pembaruan NoxPlayer. Setidaknya ratusan juta pengguna NoxPlayer yang sebagian besar berada di Asia, termasuk di Indonesia, menjadi target khusus. Malware tersebut dapat merekam apa saja yang diketik, mengambil file dan mematai-matai dari jarak jauh. Lengkapnya di sini.

Dalam konferensi ESET World, Selasa (8 Juni 2021), peneliti menyebut ada varian baru Gelsmium yaitu “Gelsemine” sebagai dropper—penjatuh malware, “Gelsenicine” sebagai loader, dan “Gelsevirine” sebagai plug-in utama

“Seluruh rantai Gelsemium mungkin tampak sederhana pada pandangan pertama, tetapi jumlah konfigurasi yang lengkap, yang ditanamkan pada setiap tahap, dapat mengubah pengaturan untuk muatan akhir, sehingga lebih sulit untuk dipahami,” jelas peneliti ESET Thomas Dupuy yang aktif meriset Gelsemium.

Gelsemium baru

Menurut ESET, sejak tujuh tahun terakhir geng tersebut punya skema yang jelas ke mana arah spionase mereka. Mereka juga memiliki sejumlah besar komponen yang dapat beradaptasi dalam berbagai ekosistem.

Gelsemium menggunakan tiga komponen dan sistem plug-in untuk memberi operator berbagai kemungkinan untuk mengumpulkan informasi: dropper Gelsemine, loader Gelsenicine, dan plugin utama Gelsevirine.

Gelsemium baru ini juga memiliki tugas baru, yaitu untuk mengambil informasi dari target-target baru yang mencakup pemerintah, universitas, produsen elektronik, dan organisasi keagamaan di Asia.

IT Security Consultant PT Prosperita Mitra Indonesia, Yudhi Kukuh mengatakan, konsep serangan spionase Gelsemium sangat eksklusif. Ia mencontohkan kasus NoxPlayer. Dari sejumlah unduhan pembaruan yang beredar hanya segelintir yang disusupi spyware dan uniknya tidak ditemukan korelasi yang menunjukkan hubungan antara korban.

“Alur yang mereka bangun disusun sangat rapi dan rahasia menunjukkan betapa fokusnya mereka,” Kukuh.

PT Prosperita Mitra Indonesia adalah distributor eksklusif perangkat lunak antivirus ESET di Indonesia.

Untuk melindungi data dan mencegah spionase siber, termasuk dari geng Gelsemium, Yudhi memberikan beberapa masukan yang bisa dilakukan oleh perusahaan.

Pertama-tama, ia menyarankan agar organisasi mengidentifikasi teknik yang digunakan dalam serangan spionase dunia maya. Ini dapat memberi perusahaan dasar yang baik tentang apa yang harus dilindungi.

“Monitor sistem untuk perilaku tak terduga. Menggunakan alat pemantauan keamanan dapat membantu mendeteksi atau mencegah terjadinya aktivitas mencurigakan,” ujar Kukuh dalam pernyataan tertulisnya, Kamis (10 Juni).

Selanjutnya, setiap organisasi bisa melakukan hal-hal berikut ini:

1. Pastikan infrastruktur penting dilindungi dan diperbarui.
2. Pastikan password diubah secara berkala.
3. Pastikan tidak ada kerentanan dalam sistem jaringan. Cek perangkat lunak pihak ketiga yang digunakan sudah terlindungi dengan baik dari serangan siber.
4. Menetapkan kebijakan data, termasuk siapa yang memiliki akses ke informasi apa. Ini akan membantu memastikan hanya mereka yang membutuhkan akses ke informasi penting yang dapat memperoleh akses.
5. Buat kebijakan keamanan siber yang membahas prosedur dan risiko keamanan.
6. Menetapkan respons insiden jika serangan terdeteksi—bergerak cepat untuk meminimalkan kerusakan.
7. Mendidik karyawan tentang kebijakan keamanan, termasuk cara menghindari membuka email yang tampak mencurigakan dengan tautan atau lampiran dokumen.
8. Pantau data apa yang dapat disimpan di perangkat seluler individu untuk organisasi yang menggunakan perangkat bawa sendiri.[]