Malware Canggih Rusia Terdeteksi, Pembuatnya Pernah Retas Ukraina

Pusat Keamanan Siber Nasional Inggris (NCSC) dan Badan Keamanan Siber dan Keamanan Infrastruktur Amerika Serikat (CISA) dilaporkan telah mendeteksi perangkat malware canggih baru milik hacker Rusia, Sandworm, pada Rabu (23/2).

Sebelumnya sejumlah situs pemerintah dan Bank Ukraina mengalami serangan DDoS yang diduga berasal dari Rusia. Sehingga bentuk ancaman siber lain yang berasal dari negara tersebut menjadi perhatian, terlebih di tengah kondisi perang yang sedang terjadi.

Sandworm adalah kelompok hacker atau peretas yang terkait beberapa serangan siber paling merusak dalam sejarah dan diyakini bagian dari badan intelijen militer GRU Rusia.

Malware baru ini disebut Cyclops Blink, ditemukan di perangkat firewall yang dijual perusahaan perangkat keras jaringan Watchguard setidaknya sejak Juni 2019.

NCSC memperingatkan kemungkinan Sandworm mampu mengompilasi malware untuk arsitektur dan firmware lain yang mungkin telah menginfeksi router jaringan umum lainnya yang digunakan di rumah dan perbisnisan. Selain itu, NCSC menyebut penyebaran malware juga tampak tidak teratur dan sangat luas.

Peneliti keamanan untuk Gigamon dan seorang peneliti lama yang melacak kelompok Sandworm, Joe Slowik, mengatakan, alasan Sandworm meretas perangkat jaringan masih belum jelas.

Entah untuk tujuan spionase, membangun jaringan mesin yang diretas untuk digunakan sebagai infrastruktur komunikasi operasi masa depan, atau menargetkan jaringan untuk serangan siber yang mengganggu.

Tetapi menurut Slowik, mengingat sejarah masa lalu Sandworm yang menimbulkan kekacauan digital perlu dijadikan catatan.

Pada masa lalu, kelompok ini menghancurkan seluruh jaringan di dalam perusahaan dan lembaga pemerintah Ukraina, memicu pemadaman dengan menargetkan utilitas listrik di Ukraina, dan melepaskan malware NotPetya di sana yang menyebar secara global dan menimbulkan kerugian US$10 miliar atau sekitar Rp143 triliun, sehingga langkah kelompok hacker ini perlu diwaspadai.

"Sepertinya Sandworm telah melanjutkan jalur kompromi jaringan yang relatif besar dari perangkat ini untuk tujuan yang tidak diketahui," kata Slowik, seperti dikutip Wired.

"Ada sejumlah opsi yang tersedia untuk mereka, dan mengingat bahwa itu adalah Sandworm, beberapa dari opsi itu mungkin mengkhawatirkan, dan merusak, menurunkan, mengganggu, dan berpotensi menghancurkan, meskipun belum ada bukti tentang itu," ucap dia lagi.

CISA dan NCSC menggambarkan malware Cyclops Blink sebagai penerus alat Sandworm sebelumnya yang dikenal sebagai VPNFilter. VPNFilter menginfeksi setengah juta router untuk membentuk botnet global sebelum diidentifikasi Cisco dan FBI pada 2018.

Hingga saat ini, tidak ada tanda-tanda Sandworm telah menguasai banyak perangkat dengan Cyclops Blink.

Tetapi seperti VPNFilter, malware baru berfungsi sebagai pijakan pada perangkat jaringan dan akan memungkinkan peretas mengunduh fungsionalitas baru ke mesin yang terinfeksi.

Kemudian pijakan tersebut akan menjadi landasan untuk mendaftarkannya sebagai proxy untuk menyampaikan komunikasi perintah dan kontrol atau menargetkan jaringan tempat perangkat dipasang.

Meski malware ini dianggap sangat berbahaya, NCSC menyebut Cyclops Blink tidak terkait langsung dengan situasi invasi di Ukraina.