Cyberthreat.id – Kaspersky Lab, perusahaan keamanan siber (cybersecurity) asal Moskow, Rusia mengumumkan terkait aktivitas terbaru dari salah satu grup peretasan yang paling canggih di dunia: Platinum.

Grup peretas tersebut diduga kini memiliki pintu belakang (backdoor) baru yang canggih yang oleh peneliti dinamai: Titanium.

Peneliti Kaspersky Lab mengatakan, peretas Platinum terkenal dengan serangan rantai pasokan yang panjang dan rumit. Namun, muatan terakhir dari rantai pasokan itu adalah malware: Trojan-backdoor.

Mereka mengenkripsi muatan yang meniru driver perangkat umum (misal, driver untuk perangkat lunak suara, perangkat lunak keamanan, atau alat pembuatan video DVD dll) dan perangkat lunak dan serangkaian dropper yang mengeksekusi kode jahat multi-bertahap secara berurutan.

“Rantai serangan menggunakan sejumlah trik pintar untuk menghindari perlindungan antivirus,” tulis Kaspersky.

Platinum adalah salah satu aktor dalam kelompok peretas jenis APT (advanced persistent threat) yang diduga mendapatkan dukungan negara-bangsa dan melakukan intrusi berskala besar. Motivasi aktor APT cenderung bersifat politik atau ekonomi.

“Platinum adalah salah satu aktor APT yang paling maju secara teknologi dan memfokuskan peretasan di kawasan Asia Pasifik,” tulis Kaspersky seperti dikutip dari Securelist.com, Jumat (8 November 2019).

---

---

Selain itu, cara lain agar tetap di luar radar antivirus, adalah data tersembunyi yang disampaikan secara steganografis dalam gambar PNG.

"Titanium APT memiliki skema infiltrasi yang sangat rumit," tulis peneliti Kaspersky.

Titanium melibatkan banyak langkah dan membutuhkan koordinasi yang baik di antara mereka semua. Selain itu, tidak ada file dalam sistem file yang dapat dideteksi sebagai berbahaya karena penggunaan teknologi enkripsi dan fileless.

Kaspersky menyebutkan, Titanium menggunakan beberapa metode berbeda untuk menginfeksi target awalnya dan menyebar dari komputer ke komputer, yaitu (1) melalui intranet lokal yang telah dikompromikan dengan malware, (2) arsip SFX yang berisi tugas instalasi Windows, dan (3) shellcode yang akan disuntikkan ke proses winlogon.exe (masih belum diketahui bagaimana ini terjadi).

Hasil akhirnya adalah pintu belakang tersembunyi dan berfitur lengkap yang dapat:

• Membaca file apa pun dari sistem file dan kirimkan ke server yang dikendalikan penyerang
• Menjatuhkan file ke atau menghapus dari sistem file
• Menjatuhkan file dan menjalankannya
• Menjalankan baris perintah (command line) dan mengirim hasil eksekusi ke server kontrol penyerang

Platinum telah beroperasi setidaknya sejak 2009, menurut laporan terperinci yang diterbitkan Microsoft pada 2016. Grup ini terutama berfokus pada pencurian kekayaan intelektual sensitif terkait dengan kepentingan pemerintah. Platinum sering mengandalkan phishing tombak dan eksploitasi zero-day (celah/bug yang belum ditambal/patch).

Menariknya, Kaspersky Lab mengatakan belum mendeteksi aktivitas apa pun saat ini terkait dengan Titanium. Tidak jelas apakah itu karena malware tidak digunakan atau terlalu sulit untuk mendeteksi komputer yang terinfeksi.