Timur Tengah dan Eropa Korban Serangan Ganda Malware Shamoon 2.0 dan StoneDrill

TRIBUNNEWS.COM, JAKARTA - Global Research and Analysis Team (GReAT) dari Kaspersky Lab menemukan sebuah malware ‘wiper’ canggih terbaru, yang disebut StoneDrill.

Sama seperti ‘wiper’ terkenal lainnya, Shamoon, disebut demikian karena menghancurkan semua data yang ada di komputer terinfeksi. StoneDrill juga dilengkapi dengan fungsi anti-deteksi serta fungsi spionase sebagai instrumen untuk menyerang.

Selain menargetkan Timur Tengah, telah ditemukan juga satu target StoneDrill di kawasan Eropa. Adapun ‘wiper’ yang digunakan di Timur Tengah ini belum pernah terdeteksi digunakan sebelumnya.

Pada 2012, Shamoon ‘wiper’ (yang juga dikenal sebagai Disttrack) menyebabkan banyak kericuhan karena berhasil meretas sekitar 35.000 komputer milik perusahaan minyak dan gas di Timur Tengah.

Begitu menghancurkannya serangan ini sehingga menyebabkan 10% dari pasokan minyak dunia menjadi berisiko. Namun, insiden tersebut hanya terjadi satu kali saja, dan setelahnya aktor yang mendalangi serangan langsung menghilang.

Di akhir 2016 mereka kembali lagi beraksi dan menamakan diri sebagai Shamoon 2.0 – aksi serangan mereka jauh lebih berbahaya dan lebih luas karena menggunakan banyak sekali pembaharuan dari versi malware 2012.

Ketika mempelajari serangan dengan lebih mendalam, para peneliti Kaspersky Lab tiba-tiba menemukan sebuah malware yang dibangun dengan menggunakan ‘teknik’ mirip Shamoon 2.0. Namun, pada saat yang sama, juga sangat berbeda dan bahkan lebih canggih dari Shamoon. Mereka menamakannya StoneDrill.

StoneDrill – Wiper Yang Saling Terkoneksi

Belum diketahui bagaimana malware StoneDrill disebarkan, tapi sekali malware berhasil menyusup ke mesin yang diserang, maka selanjutnya ‘wiper’ tersebut memasukkan dirinya ke dalam proses memori dari browser yang dipakai oleh pengguna.

Selama proses ini, StoneDrill menggunakan dua teknik anti-emulasi canggih yang ditujukan untuk membodohi solusi keamanan yang diinstal pada mesin korban. Malware kemudian mulai menghancurkan disk file computer tersrbut.

Sejauh ini, setidaknya ada dua target dari wiper StoneDrill telah diidentifikasi, salah satunya berbasis di Timur Tengah dan yang lainnya di Eropa.

Selain modus menghapus, peneliti Kaspersky Lab juga menemukan backdoor StoneDrill, yang rupanya telah dikembangkan oleh para penulis kode yang sama dan digunakan untuk tujuan spionase. Para ahli menemukan empat command and control panel yang digunakan oleh penyerang untuk menjalankan operasi spionase dengan bantuan backdoor StoneDrill terhadap target yang sampai saat ini tidak diketahui berapa jumlahnya.

Bisa jadi hal yang paling menarik tentang malware StoneDrill adalah ‘wiper’ tersebut tampaknya memiliki koneksi ke beberapa ‘wiper’ lain serta operasi spionase yang pernah diamati sebelumnya.

Ketika ahli Kaspersky Lab menemukan StoneDrill dengan bantuan aturan Yara – peraturan yang dibuat untuk mengidentifikasi sampel tidak diketahui - dari Shamoon, mereka menyadari bahwa sedang melihat potongan unik dari kode berbahaya yang tampaknya telah dibuat terpisah dari Shamoon.

Meskipun keduanya - Shamoon dan StoneDrill - tidak memiliki basis kode yang sama persis, namun pola pikir dan program dari para penulis kode memiliki kemiripan dalam hal "teknik" yang digunakan. Itulah mengapa hal yang tepat jika para ahli mengidentifikasi StoneDrill dengan menggunakan pengembangan aturan Yara dari Shamoon.