Cyberthreat.id – Infeksi cryptomining (penambangan cryptocurrency/mata uang kripto) menyebar di sejumlah workstations—komputer yang menghubungkan komputer satu ke komputer lain atau komputer tersebut dengan server—di bandara internasional utama di Eropa.

“Temuan ini dikhawatirkan adanya malware dalam jaringan perusahaan meski jaringan telah dilindungi oleh sistem antivirus,” demikian analisis peneliti Cyberbit Ltd—anak perusahaan Elbit Systems asal Israel yang fokus di bidang cybersecurity. Namun, peneliti tak menyebutkan nama bandara tersebut.

Dalam analisis lebih lanjut, peneliti menemukan malware penambangan XMRig Monero, yang dikenal sebagai "Playerz” saat menginstal solusi keamanan Cyberbit Endpoint Detection and Response (EDR) di salah satu bandara.

Peneliti mengaitkan malware tersebut dengan temuan Zscaler pada Agustus 2018.

Menurut Kepala Penelitian Cyberbit Ltd, Meir Brown, malware itu hanya bisa terdeteksi dari 16 produk antivirus dari 73 produk deteksi yang dipasarkan di VirusTotal—layanan online gratis yang menganalisis berkas dan pranala dari perangkat lunak jahat.

"Dampak bisnisnya relatif kecil, terbatas pada penurunan kinerja yang mengarah pada kualitas layanan dan gangguan layanan, serta peningkatan konsumsi daya yang signifikan di seluruh bandara," demikian analisis peneliti seperti dikutip dari ThreatPost, Jumat (18 Oktober 2019)

Brown memperkirakan malware tersebut telah dipakai selama berbulan-bulan dan motif utamanya ialah finansial.

"Kami melihat peningkatan penggunaan cryptominers dalam serangan baru-baru ini dan kami melihat tren untuk beralih dari ransomware ke penambangan," kata Brown.

“Karena serangan ransomware lebih terlihat secara alami, mereka cenderung 'merusak' lebih cepat. Dalam serangan khusus ini, malware tersebut aktif selama berbulan-bulan tanpa indikasi apa pun," ia menambahkan.

Brown mengatakan, timnya mencurigai penggunaan alat PAExec yang dipakai beberapa dalam waktu singkat untuk meluncurkan aplikasi bernama player.exe.

PAExec adalah layanan sah yang digunakan untuk menjalankan program Windows pada sistem jarak jauh tanpa harus menginstal perangkat lunak secara fisik pada sistem tersebut. Namun, kata dia, penggunaan PAExec sering merupakan indikasi aktivitas jahat apalagi berulang kali dipakai.

Begitu player.exe dijalankan akan terlihat pemuatan Reflective DLL Loading, yang menurut perusahaan adalah teknik untuk menyuntikkan DLL dari jarak jauh ke dalam suatu proses tanpa menggunakan Windows loader, sehingga menghindari keharusan mengakses hard drive. Singkatnya, jelas bahwa pengguna jarak jauh berusaha untuk diam-diam mengakses jaringan beberapa kali.

“Pemuatan Reflective DLL Loading adalah taktik penghindaran pertahanan yang biasa digunakan oleh penyerang untuk menutupi pemuatan file berbahaya,” kata Brown.

PAExec juga digunakan untuk meningkatkan hak istimewa dan mengeksekusi coinminer dalam mode sistem sehingga penambang akan mengambil prioritas di atas aplikasi lain untuk penggunaan sumber daya workstation.

Dalam kasus ini para penyerang ingin menambang cryptocurrency Monero. Penyerang mampu menyusup ke jaringan dari jarak jauh dan menyebar secara lateral ke 50 persen dari semua workstation, kata Brown.

"Ini menunjukkan aktor ancaman yang canggih sekaliguskeamanan di bawah standar," kata dia. Menurut dia, bandara cenderung rentan karena hanya fokus secara tradisional pada keamanan fisik dan sering menggunakan campuran perangkat lunak yang sudah ketinggalan zaman.

"Selain itu, bandara mengandalkan berbagai layanan pihak ketiga seperti sistem tiket dan sistem pemeliharaan eksternal dan rentan terhadap serangan rantai pasokan."

Terpenting, kata dia, ini menjadi perhatian khusus mengingat bandara menjalankan beberapa sistem teknologi operasional (TO) yang dikendalikan dari arsitektur teknologi informasi, termasuk penanganan bagasi, kereta udara, sistem HVAC, lampu landasan, jembatan jet, dan lain-lain.

"Setelah penyerang menembus jaringan TI bandara tidak hanya rentan terhadap risiko TI tradisional seperti ransomware dan cryptominers, tetapi juga penyerang yang pindah ke jaringan TO dan merusak sistem fisik ini," kata Brown.

Brown mengatakan, peneliti mengidentifikasi malware pasca infeksi sehingga sulit menentukan vektor serangan asli di mana para penyerang memperoleh pijakan awal mereka. Ini yang menyulitkan tentang identitas penyerang.

“Dengan meningkatnya konvergensi jaringan TI dan TO, kami sangat mendesak bandara untuk juga meningkatkan perlindungan jaringan TO mereka, yang digunakan untuk mengendalikan sistem bandara fisik,” kata Browon.

Sebab, hanya dengan menembus jaringan TO, “Penyerang dapat menyebabkan kerusakan fisik yang sangat besar dan oleh karena itu, ini harus menjadi prioritas pertahanan siber yang strategis," tutur dia.