Beberapa tahun yang lalu ketika kelompok hacking misterius ‘The Shadow Brokers‘ menyebarkan sejumlah besar data sensitif yang dicuri dari badan intelijen AS NSA, semua orang mulai mencari alat hacking rahasia dan eksploitasi zero-day.
Sekelompok peneliti keamanan Hungaria dari CrySyS Lab dan Ukatemi sekarang telah mengungkapkan bahwa dump NSA tidak hanya mengandung eksploitasi zero-day yang digunakan untuk mengendalikan sistem yang ditargetkan, namun juga mencakup kumpulan skrip dan alat pemindai yang digunakan agen untuk melacak operasi hacker dari negara lain.
Menurut sebuah laporan yang diterbitkan oleh Intercept, tim khusus NSA yang dikenal dengan sebutan Territorial Dispute (TeDi) mengembangkan beberapa skrip dan alat pemindaian yang membantu agen tersebut untuk mendeteksi hacker di negara lainnya pada mesin yang ditargetkan atau yang sudah terinfeksi.
NSA menggunakan alat ini untuk memindai sistem yang ditargetkan untuk indicators of compromise (IoC) guna melindungi operasinya sendiri agar tidak terpapar, dan juga untuk mengetahui ancaman asing dan teknik hacking yang mereka gunakan.
“Ketika mesin NSA di Iran, Rusia, China dan tempat lain, operatornya ingin tahu apakah mata-mata asing berada di mesin yang sama karena para peretas ini dapat mencuri alat NSA atau memata-matai aktivitas NSA di mesin,” laporan publikasi tersebut.
“Jika peretas lain ceroboh, mereka juga dapat menyebabkan operasi NSA sendiri terekspos. Jadi berdasarkan siapa yang ada di mesin, NSA mungkin akan memutuskan untuk mundur atau melanjutkan dengan ekstra hati-hati.”
Tim Territorial Dispute NSA mengelola database tanda tangan digital, seperti sidik jari untuk arsip dan cuplikan dari berbagai kelompok hacking, untuk melacak operasi APT untuk atribusi.
Menurut para periset, ketika Shadow Broker berhasil meretas kedalam jaringan NSA dan mencuri satu koleksi file sensitif pada tahun 2013, agensi tersebut melacak setidaknya ada 45 kelompok APT yang disponsori negara.
Tampaknya juga hacker NSA melacak beberapa alat dari Dark Hotel di tahun 2011 – sekitar 3 tahun sebelum komunitas keamanan menemukan kelompok hacking tersebut.
Dark Hotel adalah grup spionase cyber canggih yang diyakini berasal dari Korea Selatan, yang terkenal dengan penargetan jaringan Wi-Fi hotel untuk memata-matai eksekutif tingkat senior di organisasi manufaktur, pertahanan, investasi modal, ekuitas swasta, industri otomotif dan lainnya.
Kelompok peneliti telah merencanakan untuk merilis temuan skrip dan alat pemindaian NSA minggu ini di Kaspersky Security Summit di Cancun, yang akan membantu periset lain untuk menggali data dan mengidentifikasi lebih banyak kelompok APT yang sedang ditargetkan oleh NSA.
“Tim juga berharap informasi tersebut akan membantu masyarakat mengklasifikasikan beberapa sampel dan tanda tangan malware yang sebelumnya telah ditemukan oleh komunitas keamanan namun tetap tidak diketahui ke kelompok ancaman tertentu.” Kata Intercept.
