Pemerintah Amerika Serikat telah melepaskan peringatan langka tentang operasi hacking Korea Utara yang telah berlangsung selama delapan tahun, yang saat ini masih sedang berlangsung. Laporan bersama dari FBI and U.S. Department of Homeland Security (DHS) memberi rincian tentang “DeltaCharlie“, varian malware yang digunakan oleh kelompok hacking “Hidden Cobra” untuk menginfeksi ratusan ribu komputer secara global sebagai bagian dari jaringan botnet DDoS-nya.
Menurut laporan tersebut, kelompok hacker Hidden Cobra diyakini didukung oleh pemerintah Korea Utara dan diketahui meluncurkan serangan cyber terhadap institusi global, termasuk organisasi media, sektor kedirgantaraan dan keuangan, juga infrastruktur penting.
Sementara pemerintah AS telah memberi label pada kelompok hacking Korea Utara, Hidden Cobra, yang sering dikenal sebagai Lazarus Group dan Guardians of Peace – diduga terkait dengan ancaman ransomware WannaCry yang menghancurkan dan mematikan rumah sakit serta bisnis di seluruh dunia.
DeltaCharlie – DDoS Botnet Malware
Badan-badan tersebut mengidentifikasi alamat IP dengan “kepercayaan tinggi” terkait dengan “DeltaCharlie” – alat DDoS yang dipercaya oleh DHS dan FBI digunakan Korea Utara untuk meluncurkan serangan distributed denial-of-service (DDoS) terhadap sasarannya.
DeltaCharlie mampu meluncurkan berbagai serangan DDoS pada targetnya, termasuk serangan Domain Name System (DNS), serangan Network Time Protocol (NTP), dan serangan Character Generation Protocol (CGP).
Malware botnet ini mampu mengunduh file executable pada sistem yang terinfeksi, memperbarui binernya sendiri, mengubah konfigurasinya sendiri secara real-time, menghentikan prosesnya, dan mengaktifkan dan menghentikan serangan DDoS.
Namun, malware DeltaCharlie DDoS bukanlah hal baru.
DeltaCharlie awalnya dilaporkan oleh Novetta dalam laporan Malware Blockbuster 2016 mereka, yang menggambarkan ini sebagai malware botnet ketiga dari kelompok hacker Korea Utara, setelah DeltaAlpha dan DeltaBravo.
Loading...
Reload document
Open in new tab Malware lain yang digunakan oleh Hidden Cobra termasuk Destover, Wild Positron atau Duuzer, dan Hangman dengan kemampuan canggih, termasuk botnet DDoS, keyloggers, alat akses jarak jauh (RAT), dan wiper malware.
Kerentanan Favorit Hidden Cobra
Beroperasi sejak tahun 2009, Hidden Cobra biasanya menargetkan sistem yang menjalankan versi sistem operasi Microsoft yang lebih tua dan tidak didukung, dan umumnya memanfaatkan kerentanan Adobe Flash Player untuk mendapatkan titik masuk awal ke mesin korban.
Inilah kerentanan yang diketahui mempengaruhi berbagai aplikasi yang biasanya dieksploitasi oleh Hidden Cobra:
- Hangul Word Processor bug (CVE-2015-6585)
- Microsoft Silverlight flaw (CVE-2015-8651)
- Adobe Flash Player 18.0.0.324 and 19.x vulnerability (CVE-2016-0034)
- Adobe Flash Player 21.0.0.197 Vulnerability (CVE-2016-1019)
- Adobe Flash Player 21.0.0.226 Vulnerability (CVE-2016-4117)
Cara termudah untuk mempertahankan diri terhadap serangan semacam itu adalah selalu menjaga agar sistem operasi dan perangkat lunak serta aplikasi tetap up-to-date, dan melindungi aset jaringan di balik firewall.
FBI dan DHS telah menyediakan banyak indikator kompromi (IOC), deskripsi perangkat keras, tanda tangan jaringan, serta peraturan berbasis host (peraturan YARA) dalam upaya untuk membantu pembela mendeteksi aktivitas yang dilakukan oleh kelompok hacking yang disponsori oleh Korea Utara.
“Jika pengguna atau administrator mendeteksi alat khusus yang menunjukkan HIDDEN COBRA, alat ini harus segera ditandai, dilaporkan ke DHS National Cybersecurity Communications and Integration Center (NCCIC) atau FBI Cyber Watch (CyWatch), dan diberi prioritas tertinggi untuk mitigasi yang disempurnakan.” Bunyi dari peringatan yang dikeluarkan.
Selain itu, agensi juga telah menyediakan daftar panjang mitigasi bagi pengguna dan administrator jaringan, yang dapat kamu ikuti di: https://www.us-cert.gov/ncas/alerts/TA17-164A
