Teknogav.com - Konferensi ESET World 2021 yang digelar baru-baru ini memaparkan mengenai berbagai penelitian terkini yang dilakukan ESET. Beberapa topik menarik mengenai ransomware dan spionase siber dibahas pada konferensi tersebut. Salah satu kelompok gencar melakukan serangan kolektif adalah Gelsemium APT yang merupakan dalang serangan pada NoxPlayer. Kepanjangan APT adalah Advanced Persistent Threats, yaitu ancaman terencana dan berkelanjutan yang menargetkan organisasi-organisasi tertentu.

Pada 26 Juni 2020, peneliti ESET menemukan hal yang mencurigakan yaitu serangan oleh Turla. Analisis beberapa operasi siber pun dilakukan ESET dan mengaitkan serangan tersebut dengan kelompok Gelsemium. Penelusuran versi paling awal malware tersbut dilakukan sampai ke tahun 2014. Para korban serangan ini berasal dari berbagai sektor dan berlokasi di Asia. Berikut ini adalah fakta-fakta yang ditemukan berdasarkan penelitian yang dilakukan ESET:

• Gelsemium APT aktif beroperasi sejak 2014
• Gelsemium merupakan dalang serangan rantai pasok pada BigNox yang sebelumnya dilaporkan sebagai Operation NightScout
• Versi baru Gelsemium merupakan malware kompleks dan modular yang terdiri dari tiga tahap, yaitu Gelsemine, Gelsenicine dan Gelsevirine

tahapan pada Gelsemium APT

“Awalnya seluruh rantai Gelsemium terlihat sederhana, tetapi jumlah konfigurasi lengkap yang ditanamkan setiap tahap dapat mengubah pengaturan muatan akhir. Modus tersebut membuat serangan lebih sulit dipahami. Serangan ini biasanya menargetkan organisasi diplomatis, organisasi religius, universitas dan pabrik elektronik,” ucap Thomas Dupuy, peneliti ESET.

Serangan Gelsemium pada NoxPlayer

NoxPlayer adalah emulator Android pada PC dan laptop yang populer di Asia, termasuk Indonesia. Baru-baru ini gamer Asia dikejutkan oleh kabar bahwa NoxPlayer mengalami serangan dan mengirimkan malware ke PC penggunanya. Kiriman tersebut berupa pembaruan yang berasal dari infrastruktur backend milik NoxPlayer. Pembaruan tersebut ternyata mengandung kode-kode tertentu yang berbahaya bagi komputer.

Baca juga: ESET Berikan Tips Aman Bekerja dari Rumah

Penyelidikan pun dilakkan ESET, dan hasilnya melaporkan bahwa setidaknya ada tiga verian berbahaya bagi pengguna emulator NoxPlayer. Malware yang dikirim tersebut bisa merekam berbagai hal yang diketik, mengambil file dan memata-matai secara jarak jauh. Ratusan juta pengguna NoxPlayer yang sebagian besar di Asia pun menjadi sasaran serangan. Serangan tersebut mengincar komunitas game emulator dan didalangi Gelsemium.

Gelsemium APT Baru

Penyebaran malware untuk mengambil informasi di seluruh Asia terus dilakukan secara diam-diam di bawah radar. Kelompok Gelsemium sangat lihat melakukan serangan sejak tujuh tahun lalu dan memiliki skema jelas tujuan spionase mereka. Berdasarkan telemetri ESET, dapat disimpulkan bahwa  kelompok Gelsemium terlibat dalam banyak spionase dunia maya. Sejumlah besar komponen yang mampu beradaptasi di berbagai ekosistem dimiliki oleh kelompok ini.

Terdapat tiga komponen dan sistem plug-in yang digunakan Gelsemium untuk memberi berbagai kemungkinan untuk mengumpulkan informasi bagi operator. Ketiga komponen tersebut adalah Gelsemine, loader Gelsenicine dan plugin utama Gelsevirine. Gelsenicine memiliki empat versi dan memuat serangannya di memori. Sedangkan karakteristik Gelsevirine memuat sistem pluggin di jaringan konfigurasi. Gelsevirine mengkompresi dan mendekompresi plugin untuk komunikasi antar komputer, plugin sistem file dan memasukkan dll library untuk melakukan proses khusus.

Baca juga: Antisipasi Keganasan Serangan Ransomware 2.0, Ini Tips Kaspersky

Tips Perlindungan Data dan Cegah Spionase Dunia Maya

Kegencaran serangan spionase secara siber ini pun ditanggapi oleh Yudhi Kukuh, IT Security Consultant PT. Prosperita Mitra Indonesia.

“Konsep serangan spionase Gelsemium sangat eksklusif, mereka memburu setiap target mereka dengan hati-hati dan fokus. Kasus NoxPlayer misalnya, dari sejumlah unduhan pembaruan yang beredar hanya segelintir yang disusupi spyware. Uniknya tidak ditemukan korelasi yang menunjukkan hubungan antara korban. Alur yang mereka bangun disusun sangat rapi dan rahasia menunjukkan betapa fokusnya mereka,” ucap Yudhi.

Yudhi pun memberikan tips yang bisa dilakukan perusahaan untuk melindungi data dan mencegah spionase di ranah siber. Berikut ini adalah beberapa tips tersebut:

• Lakukan identifikasi teknik yang digunakan dalam serangan spionase siber. Hal ini agar perusahaan memahami mengenai apa saja yang harus dilindungi.
• Gunakan alat pemantauan keamanan untuk memantau sistem dari perilaku tak terduga. Upaya ini akan membantu mendeteksi atau mencegah kegiatan mencurigakan
• Pastikan melindungi dan memperbarui infrastruktur penting
• Tetapkan kebijakan data, termasuk menentukan siapa yang memiliki akses ke informasi dan informasi apa saja yang bisa diakses. Langkah ini membantu memastikan akses hanya dimiliki orang yang membutuhkan akses ke informasi penting
• Pastikan sistem dan perangkat lunak pihak ketiga yang digunakan tidak ada kerentanan sehingga aman dan terlindungi dari serangan siber.
• Buat kebijakan keamanan siber yang membahas prosedur dan risiko keamanan
• Jika serangan terdeteksi, lakukan respon dengan cepat untuk meminimalkan kerusakan
• Lakukan edukasi mengenai kebijakan keamanan bagi karyawan. Edukasi ini termasuk untuk menghindari membuka email dengan tautan atau lampiran dokumen yang terlihat mencurigakan
• Lakukan penggantian kata sandi secara rutin
• Pada organisasi yang karyawannya menggunakan perangkat sendiri (BYOD), pantau data apa saja yang bisa disimpan pada perangkat seluler individu.
  

Demikianlah tips-tips dari PT. Prosperita untuk dapat senantiasa terlindung dari serangan APT seperti dari kelompok Gelsemium.