Cyberthreat.id – Awal Desember lalu, IBM, perusahaan perangkat keras dan lunak asal Amerika Serikat, menemukan adanya penyebaran malware penghapus data destruktif yang diduga berasal dari peretas Iran.

Peneliti X-Force IBM dalam analisisnya menyebutkan, bahwa malware itu dipakai untuk menyerang perusahaan energi di Timur Tengah, tapi perusahaan tak mengungkapkan nama perusahaan.

Penelit menamai malware destruktif itu dengan “ZeroCleare”. Dalam laporannya, seperti dikutip dari ZDNet, malware tersebut bisa menghapus data-data penting perusahaan yang diserang.

Menurut peneliti IBM, serangan tersebut sangat mirip dengan Shamoon, salah satu jenis malware yang paling berbahaya dan merusak selama dekade terakhir. Peneliti mengaitkan malware tersebut dengan serangan ke negara tertentu, terutama Iran.

"Berdasarkan analisis malware dan perilaku penyerang, kami menduga musuh negara-negara yang berbasis di Iran terlibat untuk mengembangkan dan menyebarkan ini," kata tim peneliti keamanan IBM.

Tidak seperti banyak serangan siber lainnya, yang biasanya dilakukan oleh satu kelompok tunggal, peneliti IBM mengatakan, malware dan serangan tersebut tampaknya merupakan “kolaborasi antara dua unit peretasan yang didukung pemerintah tingkat atas Iran”.

Malware ZeroCleare adalah ide dari grup peretas xHunt (yang disebut sebagai “Hive0081” dalam laporan IBM) dan APT34 (atau yang disebut ITG13 versi IBM) juga dikenal sebagai “Oilrig”.

ZeroCleare sendiri berarti "penghapus" atau serangkaian malware yang dirancang untuk menghapus data sebanyak mungkin dari perangkat (host) yang terinfeksi. Malware penghapus biasanya digunakan dalam dua skenario. Baik digunakan untuk menutupi intrusi dengan menghapus bukti forensik penting atau digunakan untuk merusak kemampuan korban untuk melakukan aktivitas bisnis normal, seperti halnya kasus serangan seperti Shamoon, NotPetya, atau Bad Rabbit.

Peneliti IBM mengatakan mengidentifikasi ada dua versi malware. Satu diciptakan untuk sistem 32-bit dan yang kedua untuk sistem 64-bit. Dari keduanya, IBM mengatakan bahwa hanya versi 64-bit yang benar-benar berfungsi.

Para peneliti mengatakan bahwa serangan biasanya dimulai dengan para peretas yang melakukan serangan brutal untuk mendapatkan akses ke akun jaringan perusahaan yang tingkat keamanannya lemah. Setelah itu, mereka mengeksploitasi kerentanan SharePoint untuk menginstal shell web seperti China Chopper dan Tunna.

Setelah penyerang memiliki pijakan di dalam sebuah perusahaan, mereka menyebar secara lateral ke dalam jaringan ke sebanyak mungkin komputer, di mana mereka menempatkan ZeroCleare sebagai langkah terakhir dari infeksi mereka.

"Untuk mendapatkan akses ke inti perangkat, ZeroCleare menggunakan driver yang sengaja rentan dan skrip PowerShell atau  batch berbahaya untuk melewati kontrol Windows," kata IBM.

Setelah ZeroCleare meningkatkan hak istimewa pada host, itu akan memuat EldoS RawDisk, toolkit yang sah untuk berinteraksi dengan file, disk, dan partisi. Malware kemudian menyalahgunakan alat yang sah ini untuk menghapus MBR dan merusak partisi disk pada sejumlah besar perangkat jaringan.

Peneliti IBM menunjukkan bahwa versi terbaru dari malware Shamoon, yang digunakan baru-baru ini untuk menyalahgunakan toolkit Eldos RawDisk yang sama karena perilakunya yang "merusak". Shamoon juga diciptakan dan dioperasikan oleh peretas Iran juga, tetapi oleh kelompok yang berbeda, yang dikenal sebagai APT33 (Hive0016). Tidak jelas apakah APT33 terlibat dalam pembuatan ZeroCleare.

Berdasarkan versi awal dari laporan IBM mengklaim bahwa APT33 dan APT34 telah menciptakan ZeroCleare, tetapi ini segera diperbarui untuk xHunt dan APT34, tak lama setelah publikasi, menunjukkan bahwa atribusi belum 100 persen jelas.

Sementara IBM tidak membagikan rincian apa pun tentang korban ZeroCleare. IBM pertama kali mengetahui malware dan serangan baru ini sekitar 20 September lalu.

Redaktur: Andi Nugroho