Cyberthreat.id – Sejumlah perusahaan infrastruktur kritis Prancis dikabarkan mendapatkan serangan siber dari seorang peretas (hacker) yang berbasis di Maroko.

“Serangan itu berupa malware,” tulis KrebsOnSecurity mengutip sumber anonimnya, Senin (2 Maret 2020).

Menurut laporan tersebut, perusahaan yang terkena dampak malware seperti PLN Prancis, rumah sakit, pabrik mobil, sebuah bank, perusahaan pos dan transportasi, operator bandara, dan sebuah perusahaan kereta api negara, dan fasilitas penelitian nuklir.

Perusahaan keamanan siber, HYAS Infosec Inc., mengatakan, telah menemukan jaringan malware di sistem PLN Prancis sejak 2018. Malware tersebut teridentifikasi sebagai trojan akses jarak jauh (RAT) yang dikenal dengan njRAT. Malware ini telah digunakan terhadap jutaan target, utamanya di Timur Tengah.

Setelah penemuan itu, HYAS cepat memberi tahu tim CERT-FR (Computer Emergency Response Team), otoritas keamanan siber nasional Pranis, dan FBI.

HYAS juga telah memberitahukan mereka terkait penyedia sistem nama domain dinamis (DNS), yang dijadikan pangkalan malware oleh penyerang.

Ketika tidak mendapat kabar dari otoritas Perancis setelah hampir sepekan, HYAS meminta penyedia DNS dinamis untuk melakukan "sinkhole” (menjatuhkan) kontrol server jaringan malware. “Sinkholing” ialah ketika para peneliti mengambil kendali atas domain jaringan malware, lalu mengarahkan lalu lintas apa pun yang mengalir ke sistem itu ke server yang dikendalikan para peneliti.

Meski “sinkholing” tidak membersihkan sistem yang terinfeksi, ini dapat mencegah para penyerang terus memanen data atau mengirim perintah baru dan pembaruan malware.

Namun, HYAS menemukan beberapa sistem yang tampaknya terinfeksi masih berusaha untuk menghubungi jaringan kontrol “sinkholed” hingga akhir 2019.

Melihat entitas yang diretas dan hanya sedikit informasi yang diketahui di luar, HYAS menduga kuat serangan itu hasil dari aksi phishing. Wakil Presiden Intelijen HYAS Sasha Angus, serangan tersebut tampaknya memang telah ditargetkan ke infrastruktur Prancis.

Di sisi lain, kata HYAS, penyedia DNS dinamis menunjukkan, salah satu alamat email yang dipakai untuk mendaftarkan server DNS utama untuk jaringan malware terkait domain bisnis sah di Maroko.

Berdasarkan catatan riwayat yang dikelola oleh Domaintools.com (pengiklan, alamat email itu: ing.equipepro@gmail.com. Email ini digunakan pada 2016 untuk mendaftarkan situs web talainine.com, bisnis yang sekarang sudah tidak beroperasi yang menawarkan rekreasi kunjungan berkemah berbasis kendaraan di Maroko selatan yang disebut Guelmim.

Salinan talainine.com yang diarsipkan menunjukkan bisnis ini dikelola oleh dua orang, termasuk seseorang bernama Yassine Algangaf. Pencarian di Google mengungkapkan individu dengan nama yang sama telah dikreditkan oleh sejumlah perusahaan perangkat lunak utama, termasuk Apple, Dell dan Microsoft, yang pernah melaporkan kerentanan keamanan dalam produknya.

Pencarian pada nama ini di Facebook menghasilkan halaman untuk bisnis lain yang sekarang sudah mati bernama Yamosoft.com yang mencantumkan Algangaf sebagai pemilik.

Salinan cache di archive.org menyebutkan, Yamosoft.com adalah layanan keamanan komputer Maroko yang berspesialisasi dalam audit keamanan, investigasi peretasan komputer, pengujian penetrasi dan tinjauan kode sumber.

Pencarian alamat ing.equipepro@gmail.com di 4iq.com –layanan yang mengindeks rincian akun seperti nama pengguna dan kata sandi yang terungkap dalam pelanggaran data situs seb–menunjukkan, alamat email ini digunakan untuk mendaftarkan akun di forum peretasan komputer cracked[.]to untuk pengguna bernama "fatal.001”.

Profil LinkedIn untuk Yassine Algangaf mengatakan ia adalah peneliti keamanan dari Provinsi Guelmim di Maroko. Namun profil LinkedIn lain dengan nama dan lokasi yang sama mengatakan ia adalah programmer paruh waktu dan peneliti keamanan.[]