Cyberthreat.id – Kazakhstan, salah satu negara pecahan Uni Soviet, menjadi sasaran serangan siber oleh grup peretas (hacker) Golden Falcon alias APT-C-34.

Dalam laporan Qihoo 360, perusahaan keamanaan siber kenamaan asal China, yang diterbitkan pada Jumat (22 November 2019), peretas menargetkan seperti lembaga pemerintah, personel militer, diplomat asing, peneliti, jurnalis, perusahaan swasta, sektor pendidikan, tokoh agama, dan aktivis.

Seperti dikutip dari ZDNet, penyerang menggunakan dua senjata yang terbilang mahal. Peneliti Qihoo 360 berhasil mengetahui senjata yang dipakai setelah memperoleh akses ke server komando dan perintah (C&C) Golden Falcon.

Berita Terkait:

• Kazakhstan Jadi Target Operasi Hacker Golden Falcon

---

Dari situlah, peneliti kemudian mendekripsi file-file di dalamnya dan terungkaplah jenis alat peretasan yang digunakan. Pertama, senjata yang dipakai adalah versi RCS (Remote Control System), kit pengintaian (spionase) yang dijual oleh perusahaan Italia, HackingTeam. Kedua, trojan backdoor (pintu belakang) bernama “Harpoon” yang dimodifikasi oleh mereka sendiri.

Dalam hal penggunaan RCS, yang menonjol, adalah Golden Falcon menggunakan versi terbaru RCS. Nomor versi RCS penting karena, pada 2015, seorang hacker membocorkan semua file internal HackingTeam, termasuk kode sumber untuk RCS.

Menurut Qihoo, nomor versi untuk contoh RCS yang mereka temukan dalam kepemilikan Golden Falcon adalah 10.3, versi yang lebih baru. Ini artinya kelompok tersebut kemungkinan besar membeli versi yang lebih baru dari distributornya.

Golden Falcon juga memiliki alat canggih lainnya. Grup tersebut menggunakan backdoor unik yang belum terlihat di luar operasi grup dan kemungkinan besar adalah ciptaan mereka sendiri yang memiliki fitur di bawah ini. Sebagian besar fitur yang tercantum berikut ini, menurut ZDNet, adalah trojan backdoor tingkat tinggi yang biasanya ditemui di cyberspionage tingkat negara:

• Keylogging
• Mencuri data clipboard
• Ambil tangkapan layar jendela aktif pada interval yang telah ditentukan
• Daftar isi direktori yang diberikan
• Mencuri nama login Skype, daftar kontak, dan riwayat pesan obrolan
• Mencuri kontak Skype dan Google Hangouts dan rekaman suara
• Rekam suara melalui mikrofon, menguping
• Salin file yang ditentukan dari komputer target
• Secara otomatis menyalin file dari media yang dapat dipindahkan
• Menyimoan semua data yang dicegat dalam file data terenkripsi, di dalam direktori yang ditentukan
• Mengirim data curian ke server FTP yang ditentukan
• Menjalankan perintah program atau sistem operasi
• Mengunduh file dari FTP yang diberikan ke direktori tertentu
• Mengonfigurasi ulang dan memperbarui komponen dari jarak jauh
• Menerima file data dari FTP yang diberikan dan secara otomatis mengekstrak file ke direktori yang ditentukan
• Penghancuran diri.

Peneliti Qihoo juga menemukan file tambahan, seperti kontrak yang seharusnya ditandatangani oleh kelompok. Menurut ZDNet, kelompok spionase siber sangat jarang meninggalkan kontrak dengan server C&C. Belum jelas apakah kontrak ini ditemukan di server C&C Golden Falcon atau diambil dari sumber lain.

Salah satu kontrak ini tampaknya berisi pengadaan perangkat spionase seluler yang dikenal sebagai Pegasus. Kontrak tersebut menunjukkan bahwa Golden Eagle telah menunjukkan minat untuk memiliki alat pengintai Android dan iOS dari NSO Group asal Israel.

Qihoo mengatakan malware yang berhasil mereka analisis meliputi 17 modul dengan fitur mulai dari audio yang menguping hingga pelacakan riwayat peramban, dan dari mencuri log obrolan IM (IM Chat) sampai melacak lokasi geografis korban.

Pada kontrak kedua disebutkan, bahwa Golden Falcon juga telah memperoleh peralatan dari Yurion, kontraktor pertahanan yang bermarkas di Moskow yang berspesialisasi dalam pemantauan radio, menguping, dan lainnya.

Qihoo mengatakan, berhasil melacak sejumlah anggota Golden Falcon melalui rincian tanda tangan digital legal di kontrak yang ditemukan. Salah satu anggota yang terlacak adalah seorang programmer berbasis di Moskow, Rusia.

Baik Qihoo maupun Kaspersky (dalam laporan tahun 2018) tidak membuat atribusi formal untuk grup ini. Satu-satunya detail yang dibagikan oleh keduanya adalah bahwa ini adalah APT berbahasa Rusia.

Redaktur: Andi Nugroho