Kelompok Hacker Paling Menakutkan di Jagad Maya

Operasi Ransomware LostTrust

Digitalmania – Karena konflik konvensional antara kekuatan besar telah dihalangi oleh ancaman bencana nuklir yang bisa sangat merugikan, perang dunia maya perlahan-lahan mengambil tempat di arena global. Di masa ini, beberapa kelompok hacker yang disponsori negara menjadi sorotan seluruh dunia.

Dengan serangan spionase dan sabotase siber terselubung yang tak terhitung jumlahnya diluncurkan untuk mencuri data sensitif dan melumpuhkan infrastruktur dan sistem pertahanan lawan, operasi peretasan yang disponsori negara kini dianggap sebagai ancaman terbesar bagi lembaga dan organisasi pemerintah.

Namun, serangan oleh aktor yang disponsori negara tidak dilakukan secara eksklusif terhadap server di kantor-kantor pemerintah, fasilitas nuklir, dan pangkalan militer. Tapi juga kelompok-kelompok pembangkang, lawan politik, dan organisasi nirlaba, serta perusahaan swasta yang menyertakan lembaga publik sebagai klien mereka, menjadi sasaran kelompok peretas yang didukung negara.

Berikut adalah kelompok-kelompok peretas yang disponsori negara yang aktivitasnya ditakuti dengan berbagai serangan siber mereka yang memberi dampak buruk pada dunia.

Kelompok peretas yang disponsori negara umumnya disebut sebagai Advance Persistent Threat (APT) oleh peneliti keamanan. Beberapa perusahaan hanya memberi mereka nomor, yang lain memiliki konvensi penamaan yang berbeda.

Akibatnya, satu kelompok aktor ancaman dapat menggunakan beberapa nama panggilan: misalnya, Cozy Bear APT29, sementara perusahaan lain menyebut grup tersebut sebagai Cozy Bear, CozyDuke, atau The Dukes.

Cozy Bear (APT29)

Afiliasi : Rusia
Aktif sejak : 2008
Terkenal karena : Serangan 2015 di Pentagon, peretasan FireEye (diduga), peretasan SolarWinds (diduga), pencurian data vaksin COVID-19

Cozy Bear (jangan bingung dengan Fancy Bear, Venomous Bear, atau Voodoo Bear) adalah nama yang dikenal luas di kalangan pakar keamanan dan media.

Apa yang membuat Cozy Bear istimewa? Mereka diduga memainkan peran penting dalam upaya Rusia untuk mempengaruhi pemilihan presiden AS 2016. Dari dugaan awal pada tahun 2008, kelompok tersebut telah menargetkan banyak organisasi, termasuk pemerintah, think tank, telekomunikasi, perusahaan energi, bahkan perusahaan keamanan siber, dalam pola yang kemungkinan mengarah pada metode operasi yang terutama digunakan oleh layanan keamanan negara. Bagaimanapun, Cozy Bear adalah salah satu dari dua kelompok peretas yang disponsori negara yang telah lama diyakini oleh para peneliti terkait dengan GRU, dinas intelijen militer utama Rusia.

Faktanya, jika kecurigaan para ahli benar, Cozy Bear mungkin terbukti sebagai kelompok peretas paling berbahaya yang disponsori negara untuk mendatangkan malapetaka pada perusahaan dan lembaga pemerintah pada tahun 2020.

Kelompok tersebut (yang diduga) sukses besar kedua tahun lalu adalah serangan terhadap sebuah firma keamanan terkemuka yang terhubung dengan banyak agen federal AS dan memiliki klien yang masuk dalam daftar Forbes Global 2000.

Pada Desember 2020, firma keamanan itu mengaku telah diretas oleh peretas yang dirahasiakan, dengan perangkat simulasi musuh miliknya dicuri. Secara resmi, firma keamanan tersebut masih bungkam tentang siapa yang harus disalahkan atas intrusi tersebut.

Namun, sumber mengatakan itu adalah pekerjaan peretas yang didukung Rusia. Yaitu, Cozy Bear. Dampak peretasan tersebut sulit untuk diremehkan, menunjukkan bahwa peretas yang disponsori negara dengan waktu dan sumber daya yang cukup, dapat menembus organisasi mana pun, bahkan yang sebelumnya dianggap tidak dapat ditembus.

Tak lama setelah peretasan firma keamanan di atas, tersiar kabar bahwa raksasa TI yang berbasis di Texas, SolarWinds, menjadi sasaran serangan siber. Tampaknya pelaku membobol sistem SolarWinds dan menyuntikkan kode berbahaya ke dalam pembaruan untuk sistem perangkat lunak perusahaan “Orion,” yang menyebar ke lebih dari setengah dari 33.000 klien Solarwinds, termasuk perusahaan Fortune 500 dan beberapa departemen pemerintah AS (Departemen Perbendaharaan, Perdagangan, dan Keamanan Dalam Negeri di antaranya).

Yang lebih buruk lagi, pelanggaran tersebut tidak terdeteksi selama berbulan-bulan, dan para pelaku dapat mengambil data di eselon tertinggi pemerintah AS, termasuk militer AS dan Gedung Putih.

Menurut Washington Post, Cozy Bear diidentifikasi sebagai kelompok peretas yang bertanggung jawab atas serangan itu. Dampaknya bahkan mendorong badan Cybersecurity and Infrastructure Security (CISA) AS untuk mengeluarkan arahan darurat tentang pelanggaran tersebut.

Jadi, apakah Cozy Bear adalah kelompok peretas yang disponsori negara paling berbahaya sepanjang masa? Mungkin. Apakah itu yang paling menakutkan di tahun 2020? Pastinya.

Grup Lazarus (APT38)

Afiliasi : Korea Utara
Aktif sejak : 2010
Terkenal karena : Operasi Troy, serangan WannaCry, pencurian data vaksin COVID-19

Lazarus, juga dikenal sebagai Zinc, Hidden Cobra, dan satu-satunya kelompok yang selalu memberikan menguntungkan Korea Utara, adalah kelompok peretas terkenal yang didukung oleh rezim Pyongyang.

Korea Utara telah menginvestasikan sumber daya yang signifikan dalam kemampuan perang sibernya, dan itu terlihat. Lazarus Group telah dikaitkan dengan beberapa serangan siber paling terkenal dalam beberapa tahun terakhir, termasuk serangan ransomware WannaCry yang terkenal pada tahun 2017 yang menginfeksi lebih dari 300.000 perangkat di seluruh planet ini, menghasilkan uang tebusan dalam jumlah yang tidak terhitung untuk rezim negara otoriter tersebut.

Sejak unit ini didirikan pada tahun 2010, serangan siber Lazarus menjadi semakin canggih dan merusak, sebagian besar menargetkan lembaga keuangan seperti bank dan perusahaan fintech.

Menurut para pakar keamanan, kelompok yang disponsori negara dijalankan mirip dengan operasi spionase, dengan hati-hati menyusup ke target dari waktu ke waktu, mempelajari seluk beluk sistem yang mereka kompromikan, dan menyerang dari bayang-bayang ketika para korban tidak mengharapkannya.

Serangan skala besar terbaru kelompok itu melibatkan serangan terhadap perusahaan farmasi dan kementerian kesehatan dalam upaya mencuri data vaksin COVID-19. Diduga bahwa para peretas mencuri data dari perusahaan farmasi dengan menyebarkan malware Bookcode dalam serangan rantai pasokan melalui perusahaan lain, sementara server kementerian disusupi dengan menginstal wAgent, program malware tanpa file canggih yang mengambil muatan berbahaya tambahan dari server jarak jauh.

Tingkat kecanggihan ini membuat para ahli percaya bahwa kelompok peretas Korea Utara akan terus berkembang dan menimbulkan lebih banyak masalah pada tahun 2021 dan seterusnya.

Double dragon (APT41)

Afiliasi : Cina
Aktif sejak : 2012
Terkenal karena : Kampanye peretasan global besar-besaran pada tahun 2020

Double Dragon, alias Cicada, adalah kelompok spionase yang disponsori negara Tiongkok yang juga dikenal mencoba-coba kejahatan dunia maya yang bermotivasi finansial untuk keuntungan pribadi.

Kegiatan kelompok tersebut telah ditelusuri kembali ke tahun 2012 dan telah mencakup operasi spionase terhadap 14 negara yang berbeda, termasuk AS dan Inggris.

Sejak penampakan pertama, pakar keamanan telah mengamati berbagai operasi siber yang telah dilakukan oleh Double Dragon. Ini termasuk serangan rantai pasokan dan eksfiltrasi data, serta penggunaan tool buatan sendiri yang kompleks.

Teknik penargetan kelompok yang sangat canggih dan khususnya metode operasi ofensif membedakan mereka dari kelompok lain yang disponsori negara, membuat mereka menjadi ancaman ganda yang harus dihadapi.

Selain secara langsung menyerang institusi pemerintah, Double Dragon juga menargetkan perusahaan swasta di industri perjalanan dan telekomunikasi untuk mengakses data yang dapat mereka gunakan untuk operasi pengawasan.

Misalnya, kelompok tersebut akan mencuri informasi reservasi, merekam data panggilan dan pesan teks untuk melacak pejabat tinggi pemerintah asing, serta pembangkang yang lebih dekat ke rumah.

Namun, spionase bukanlah satu-satunya keahliannya, mereka tidak disebut sebagai Naga Tunggal karena suatu alasan.

Double Dragon juga melakukan aktivitas eksplisit bermotivasi finansial, yang mencakup penggunaan alat yang secara eksklusif digunakan dalam operasi yang mendukung kepentingan negara. Dengan kata lain, kelompok tersebut menggunakan alat spionase terbaik untuk mencuri uang untuk diri mereka sendiri di luar pekerjaan sehari-hari mereka.

Pada tahun 2020, Double Dragon adalah salah satu kelompok peretas paling produktif, yang mencoba mengeksploitasi kerentanan dalam perangkat keras, serta terus menargetkan lembaga pemerintah di berbagai negara dan perusahaan di lusinan industri.

Namun, tampaknya pendekatan kuantitas di atas kualitas untuk membangun kelompok ini membawa naas.

Pada September 2020, AS mengidentifikasi dan mendakwa 5 anggota kelompok tersebut dalam kasus yang merupakan bagian dari tindakan keras AS yang lebih besar terhadap upaya spionase dunia maya China.

Apakah operasi ini merugikan kelompok yang disponsori negara? Pastinya. Apakah ini akan menjadi akhir dari Double Dragon? Mungkin tidak.

Fancy Bear (APT28)

Afiliasi : Rusia
Aktif sejak : 2005
Terkenal karena : Kebocoran DNC dan Podesta 2016, serangan terhadap agen anti doping di 2019

Fancy Bear (jangan dikelirukan dengan Cozy Bear, Venomous Bear, atau Voodoo Bear) menjadi terkenal menyusul laporan keterlibatan kelompok tersebut dalam Peretasan DNC Besar 2016, serta serangkaian serangan siber terhadap situs web kampanye Emmanuel Macron dalam jangka hingga pemilihan Presiden Prancis 2017. Sejak saat itu, komunitas keamanan siber telah mengamati serangan kelompok itu jauh di luar AS dan Eropa Barat.

Fancy Bear memiliki sejarah panjang dalam melakukan serangan phising canggih terhadap target bernilai tinggi di media berita, gerakan pembangkang, industri pertahanan, dan partai politik asing.

Modus operandi mereka yang biasa melibatkan penggunaan domain email untuk mengelabui calon korban mereka agar percaya bahwa email phising rumit yang dihasilkan oleh grup tersebut berasal dari sumber yang sah.

Misalnya, ketika mencoba meretas kampanye kepresidenan Macron, kelompok tersebut menggunakan domain email yang terlihat hampir identik dengan situs resmi partainya, en-marche.fr. Fancy Bear menggunakan domain ini untuk meluncurkan kampanye phising yang serupa dengan yang menipu pejabat senior di Partai Demokrat AS agar memberikan kredensial akun email mereka kepada peretas.

Operasi ekstensif kelompok tersebut terhadap para korban di sektor politik dan pertahanan tampaknya mencerminkan kepentingan strategis pemerintah Rusia, yang secara kuat menunjukkan afiliasi dengan dinas intelijen militer negara itu, GRU.

Fancy Bear telah mendedikasikan banyak waktu untuk mengembangkan implan utama mereka yang dikenal sebagai XAgent, dan untuk memanfaatkan alat dan penetes berpemilik seperti X-Tunnel, WinIDS, Foozer, dan DownRange. Dan dilihat dari hasilnya, tampaknya implan mereka cukup efektif.

Pada tahun 2020, kelompok tersebut diduga telah melakukan puluhan serangan siber terhadap beberapa agen federal AS. Meskipun tampaknya kurang berhasil daripada rekan-rekan mereka dari Cozy Bear, Fancy Bear tetap menjadi duri bagi banyak perusahaan keamanan siber dan lembaga pemerintah di seluruh dunia.

Helix Kitten (APT34)

Afiliasi : Iran
Aktif sejak : 2007
Terkenal karena : Retas Bendungan New York 2013, serangan di Gedung Parlemen Australia pada 2019

Bertentangan dengan negara-negara lain dalam daftar ini, Iran tampaknya semakin memanfaatkan peretas kontrak untuk melakukan operasi ofensif rezim. Pekerja lepas semacam ini dapat berasal dari negara dan latar belakang yang berbeda, dan mungkin atau mungkin juga bukan orang yang punya idealisme sama dengan rezim tempat mereka bekerja.

Helix Kitten (juga dikenal sebagai OilRig dan APT34), bagaimanapun, diduga sebagai salah satu dari sedikit kelompok operator lokal berdedikasi yang bekerja atas nama pemerintah Iran.

Pakar keamanan percaya bahwa kelompok itu melakukan sebagian besar operasinya di Timur Tengah, menargetkan industri keuangan, energi, kimia, telekomunikasi, dan lainnya, serta lembaga pemerintah di negara-negara yang dipandang Iran sebagai pesaing dominasi regionalnya, seperti Arab Saudi dan UEA.

Penggunaan infrastruktur komunikasi di Iran, serta “timing dan keselarasan dengan kepentingan nasional” rezim Iran juga membuat para ahli menilai bahwa Helix Kitten bukanlah sekumpulan pekerja lepas dari seluruh dunia.

Namun, seperti halnya Double Dragon, kelompok tersebut juga tampaknya menjalankan proyek sampingan dengan meluncurkan operasi kejahatan dunia maya independen dengan menggunakan perangkat serangan yang disediakan oleh perusahaan mereka.

Pada April 2019, Helix Kitten mendapat pukulan telak setelah serangkaian kebocoran di Telegram yang mengungkap nama, alat, dan aktivitas kelompok peretas. Dalam kebocoran tersebut, sepuluh individu dari Helix Kitten disebutkan secara publik, dengan tiga dipekerjakan oleh Kementerian Intelijen Iran, dan yang lainnya bekerja di perusahaan keamanan siber Iran Rahacrop. Ini dilihat sebagai kudeta terhadap kelompok terkenal itu, dengan aktivitasnya yang tampaknya berhenti selama sisa tahun ini.

Namun, desas-desus tentang kematian Helix Kitten tampaknya dilebih-lebihkan, karena kelompok itu tampaknya melanjutkan serangannya hingga tahun 2020, mendatangkan malapetaka di Timur Tengah dan Asia Selatan. pemerintah asing, serta kelompok yang bersebrangan yang lebih dekat ke rumah. Digitalmania. AN