Toronto, Cyberthreat.id - Selasa 12 November lalu, otoritas hukum Kanada mengajukan John “Armada” Revesz ke meja hijau. Revesz dituduh terlibat operasi malware internasional melalui piranti lunak Orcus RAT. Dakwaan ini merupakan hasil penyelidikan bersama Otoritas Kanada, Royal Canadian Mounted Police (RCMP), Australian Federal Police (AFP), Canadian Radio–television and Telecommunications Commission (CRTC) dan Federal Bureau of Investigation (FBI) Amerika Serikat. Proses penyelidikan memakan waktu lebih dari 3 tahun sejak dimulai pada Juli 2016. Keterlibatan Revesz dalam kejahatan siber mulai jelas ketika otoritas Kanada secara resmi menggeledah rumah Revesz di Toronto, Kanada, pada Maret 2019. Revesz akan disidang perdana pada 5 Desember.

Identitas Revesz tidaklah tersembunyi seperti halnya penjahat siber atau hacker. Ia mengelola Remote Administration Tool (RAT) bernama Orcus melalui perusahaan Orcus Technology. Ia aktif mengiklankan Orcus di banyak forum hacker. RAT ini merupakan piranti legal yang populer untuk membantu admin sistem untuk mengelola komputer dalam jaringan mereka. Ini mirip seperti TeamViewer dimana admin bisa masuk ke komputer lain dengan bantuan TeamViewer untuk membereskan masalah di komputer tersebut dari jarak jauh. Admin bisa mengoperasikan komputer pengguna seperti ia berada langsung di depan komputer. RAT sangat memudahkan kerja admin IT.

Popularitas Orcus ternyata tak sekadar alat untuk admin, melainkan juga alat untuk hacker membobol komputer korban dan menyebarkan malware. Penggunaan Orcus bagi penjahat siber ini mendapat perhatian Daniel Gallagher, anggota  @malwrhunterteam and @MalwareTechBlog. Sekitar Juli 2016, bertepatan dengan dimulainya penyelidikan terhadap Orcus, Gallagher mendapati bahwa tim Orcus menyediakan dukungan teknis kepada kliennya yang mengalami kesulitan menginfeksi komputer-komputer lain atau yang ingin menyembunyikan aktivitas online (Orcus) mereka. Kepada Brian Krebs, pemilik krebsonsecurity.com, Gallagher menyatakan bahwa Orcus mendukung plugin-plugin yang melampaui kemampuan RAT biasa seperti TeamViewer. Orcus bisa merekam ketikan keyboard (keylogger), mengintip melalui web cam, dan kemampuan menghindari deteksi keamanan seperti alat digital forensik dan menghindari RAT dijalankan dalam mesin virtual. Plugin lainnya adalah "survey bot" untuk membuat survey yang bisa menghasilkan uang, menyebarkan file melalui macro, membajak iklan di halaman web dan menggantinya dengan iklan pilihan sendiri. 

Sementara Revesz sendiri menyatakan bahwa piranti lunaknya sebagai hal yang tidak melanggar hukum. Penggunanya bisa menyalahgunakan piranti ini dengan memanfaatkan plugin pihak ketiga untuk melakukan kejahatan siber. Kepada Brian Krebs, Revesz menyatakan bahwa di EULA (perjanjian lisensi dengan pengguna) dijelaskan bahwa mereka tidak mengizinkan penyalahgunaan piranti ini. "Orcus tidak pernah mengizinkan penggunaan fitur-fitur atau plugin yang dimaksud, dan hal itu akan kami blok," katanya seperti dikutip krebsonsecurity.com pada Juli 2016. 

Orcus menggunakan Keylogger untuk merekam password Facebook | image: krebsonsecurity.com

Ucapan Revesz bertolak belakang dengan aktivitasnya sendiri. Iklan Orcus sendiri terkesan ditujukan untuk aktivitas ilegal. Dan gambar iklannya menampilkan "tikus", sesuatu yang diasosiasikan dengan remote access trojan (RAT). Selain memberikan dukungan untuk pemanfaatan Orcus untuk aktivitas ilegal, melalui plugin, di beberapa forum dark web, ia juga menjual layanan "bulletroof dynamic DNS". Istilah "bulletproof" biasa dipakai untuk menyebut layanan atau server yang tersembunyi dan tidak gampang dideteksi penegak hukum. Ini jenis yang sering dipakai hacker sebagai server command and control (C&C) serta hosting untuk malware atau botnet.

Otoritas Kanada agaknya telah mendapat banyak bukti setelah penggeledahan Maret lalu. Nama pelanggan dan transaksi keuangan mereka juga telah disita RCMP. "Bukti-bukti menunjukkan bahwa virus ini telah menginfeksi komputer-komputer di seluruh dunia, membuat ribuan korban di banyak negara," kata RCMP di situs resminya: http://www.rcmp-grc.gc.ca.