MAJALAH ICT – Jakarta. Kaspersky Lab Global Research and Analysis Team (GReAT) memberikan laporan mengenai Adwind Remote Access Tool (RAT), sebuah program malware multifungsi serta cross-platform yang dikenal dengan nama AlienSpy, Frutas, Unrecom, Sockrat, JSocket dan jRat, dan didistribusikan melalui platform malware as a service platform.
Menurut penelitian Kaspersky, yang dilakukan antara tahun 2013 dan 2016, versi berbeda dari malware Adwind telah digunakan dalam serangan terhadap setidaknya 443.000 pengguna perseorangan, organisasi komersial dan non-komersial di seluruh dunia. Platform dan malware ini masih aktif sampai saat ini.
“Malware Adwind dengan segala kemampuan yang dimilikinya bisa dikatakan secara signifikan membantu mengurangi jumlah minimum pengetahuan profesional yang seharusnya dimiliki oleh seorang penjahat potensial jika ingin memasuki area kejahatan siber. Maka yang dapat kami simpulkan berdasarkan penyelidikan yang telah dilakukan terhadap serangan ke bank di Singapura adalah para penjahat di balik serangan tersebut jauh dari kesan seorang hacker profesional, dan kami merasa bahwa sebagian besar “pelanggan” malware Adwind ini memiliki tingkat pengetahuan mengenai komputer yang jauh dari kata profesional. Dimana hal ini menjadi sebuah tren yang mengkhawatirkan,” ungkap Alexander Gostev, Chief Security Expert di Kaspersky Lab.
Pada akhir 2015, peneliti Kaspersky Lab menyadari adanya sebuah program malware tidak biasa yang ditemukan saat percobaan serangan yangditargetkan (targeted attack) terhadap sebuah bank di Singapura. Sebuah file JAR berbahaya dilampirkan pada email spear-phishing yang ditujukan kepada karyawan dari bank yang ditargetkan. Kemampuan malware yang beraneka rupa, termasuk kemampuan untuk beroperasi di berbagai platform beserta fakta bahwa malware tersebut bahkan tidak mampu di deteksi oleh anti-virus, sangat menarik perhatian para peneliti.
Para korban tersebut diserang oleh Adwind RAT, sebuah backdoor yang dapat dibeli dan ditulis seluruhnya di Java, hal ini membuat malware ini memiliki kemampuan cross-platform. Adwin RAT juga dapat beroperasi di platform Windows, OS X, Linux dan Android sehingga memilikikemampuan untuk mengontrol desktop, mengumpulkan data, data exfiltration, dll dari jarak jauh.
“Meskipun dengan adanya berbagai laporan mengenai generasi yang berbeda-beda dari malware ini, diterbitkan oleh vendor keamanan dalam beberapa tahun terakhir, sangat jelas bahwa malware ini masih tetap aktif dan digunakan oleh para penjahat dari segala jenis. Kami melakukan penelitian ini untuk menarik perhatian lembaga keamanan dan penegakan hukum serta membuat langkah-langkah yang diperlukan untuk mengakhiri aksi malware ini sepenuhnya,” ujar Vitaly Kamluk, Director of Global Research & Analysis Team Kaspersky Lab untuk APAC.
Jika pengguna yang ditargetkan membuka file JAR yang dilampirkan, maka selanjutnya malware akan langsung terinstal dan melakukan upaya komunikasi dengan command and control server. Meskipun malware ini banyak digunakan oleh para penyerang oportunistik dengan cara mendistribusikannya melalui serangan spam secara besar-besaran, tetapi ada juga kasus di mana malware Adwind digunakan dalam serangan yang ditargetkan. Pada Agustus 2015 malware Adwind muncul dalam aksi spionasi terhadap seorang Jaksa di Argentina yang ditemukan tewas pada bulan Januari 2015.
Insiden terhadap bank diSingapura adalah contoh lain dari serangan yang ditargetkan. Jika kita menelaah lebih dalam aksi kejahatan yang terkait dengan penggunaan Adwind RAT ini, maka terlihat bahwa kedua serangan yang ditargetkan tadi bukan lah satu-satunya.
Selama penyelidikan, para peneliti Kaspersky Lab mampu menganalisis hampir 200 contoh serangan spear-phishing yang dilakukan oleh penjahat tak dikenal untuk menyebarkan malware Adwind, dan juga para peneliti berhasil mengidentifikasi industri yang menjadi target Berdasarkan informasi Kaspersky Security Network, 200 contoh serangan spear-phishing ini diamati dalam jangka waktu enam bulan antara Agustus 2015 sampai Januari 2016 yang membuat lebih dari 68,0000 pengguna harus berhadapan langsung dengan sampel malware Adwind RATini.
Distribusi geografis dari pengguna yang diserang dan terdaftar oleh KSN selama periode ini menunjukkan bahwa hampir setengah dari korban (49%) tinggal di negara Uni Emirat Arab, Jerman, India, Amerika Serikat, Italia, Taiwan, Rusia, Vietnam, Hong Kong dan Turki.
Berdasarkan profil target yang teridentifikasi, maka para peneliti Kaspersky Lab mengkategorikan pengguna Adwind RAT meliputi scammers yang ingin naik tingkat ke level berikutnya (menggunakan malware untuk penipuan yang lebih canggih), persaingan yang kotor, tentara siber bayaran (mata-mata yang dapat disewa), serta perseorangan yang ingin memata-matai orang yang mereka kenal.
