Menguak Trik Rahasia Sindikat Hacker Pembobol Bank

Infeksi Semakin Meluas

Setelah berada dalam jaringan, penjahat siber menggunakan alat yang resmi dan lolos tes penetrasi untuk dapat bergerak secara lateral, membajak pengontrol domain lokal, dan akhirnya mencari dan mendapatkan kontrol atas komputer yang digunakan oleh karyawan bank yang bertanggung jawab untuk pemrosesan kartu pembayaran.

Metel masih tetap aktif dan penyelidikan akan aktivitasnya masih terus berlangsung. Sejauh ini tidak ada serangan di luar Rusia yang telah diidentifikasi. Namun, hal ini tetap ada kemungkinan bahwa infeksi ini akan semakin jauh lebih luas lagi dan perbankan di seluruh dunia disarankan untuk secara proaktif memeriksa infeksi ini.

Ketiga kelompok hacker ini diidentifikasi bergeser ke arah penggunaan malware yang disertai dengan perangkat lunak resmi dalam aksi penipuan mereka.

Mereka beranggapan, mengapa harus membuat banyak malware dan peralatan khusus, jika utilitas resmi bisa sama efektif dan berbahaya, dan juga jauh lebih sedikit memicu alarm?

Tetapi dalam hal kerahasiaan, para aktor di belakang kelompok hacker GCMAN bahkan melangkah lebih jauh lagi. Terkadang mereka berhasil menyerang sebuah organisasi tanpa menggunakan malware, hanya dengan menggunakan alat resmi dan telah lolos uji penetrasi saja.

Dalam kasus yang telah diselidiki ahli Kaspersky Lab, terlihat bahwa kelompok GCMAN menggunakan utilitas Putty, VNC, dan Meterpreter untuk bergerak secara lateral melalui jaringan sampai para penjahat ini mencapai sebuah mesin yang dapat digunakan untuk mentransfer uang ke layanan e-currency tanpa memperingatkan sistem perbankan lainnya.

Target Tak Hanya Perbankan

Dalam satu serangan yang diamati oleh Kaspersky Lab, penjahat siber berada di jaringan selama satu setengah tahun sebelum melakukan pencurian. Pecahan uang yang ditransfer sebesar US$ 200, batas atas untuk pembayaran anonim di Rusia.

Setiap menit, CRON scheduler meluncurkan script berbahaya, dan sejumlah uang lainnya dipindahkan ke rekening e-currency milik penjahat siber. Perintah transaksi dikirim langsung ke upstream payment gateway bank dan tidak akan muncul di sistem internal bank lainnya.

Dan yang terakhir, Carbanak 2.0 menandai kemunculan kembali kelompok hacker Carbanak, dengan alat dan teknik yang sama tetapi profil korban yang berbeda dan cara-cara inovatif untuk mencuri uang.

Pada 2015, target Carbanak 2.0 tidak hanya perbankan, tapi departemen penganggaran dan keuangan dari organisasi yang menjadi target mereka.

Di salah satu contoh yang diamati oleh Kaspersky Lab, kelompok Carbanak 2.0 ini mengakses lembaga keuangan, kemudian melakukan perubahan data-data sah kepemilikan dari sebuah perusahaan besar.

Informasi ini dimodifikasi sehingga nama penjahat siber tercantum sebagai pemegang saham perusahaan dan menampilkan informasi mengenai identitas palsu mereka.

Serangan Kian Agresif

"Serangan terhadap lembaga keuangan ditemukan pada 2015, menunjukkan tren yang mengkhawatirkan dari penjahat siber semakin agresif menggunakan serangan bergaya APT. Kelompok Carbanak merupakan yang pertama dari banyak lainnya," terang Golovanov.

Penjahat siber, tambahnya, sekarang belajar dengan cepat bagaimana menggunakan teknik-teknik terbaru dalam aksi mereka, dan kita melihat lebih banyak dari mereka mulai bergeser dari menyerang pengguna ke menyerang bank secara langsung. Logika mereka adalah sederhana: di situlah uang berada.

"Produk Kaspersky Lab berhasil mendeteksi dan memblokir malware yang digunakan oleh para aktor ancaman Carbanak 2.0, Metel, dan GCMAN. Perusahaan juga merilis Indicators of Compromise (IOC) yang sangat penting dan data lainnya untuk membantu organisasi mencari jejak serangan kelompok hacker ini di jaringan perusahaan mereka," tutup Golovanov.

(Isk/Ysl)