cpu-data.info

- Jaringan internal milik sepuluh Kementerian dan Lembaga Negara Indonesia diduga diretas oleh sekelompok hacker asal China. Salah satu lembaga yang diklaim telah dibobol adalah Badan Intelijen Negara (BIN).

Menurut laporan dari peneliti keamanan Insikt Group, aksi pembobolan ini dilakukan oleh kelompok bernama Mustang Panda, kelompok peretas asal China yang target operasinya ada di wilayah Asia Tenggara.

Insikt Group mengklaim, mereka mendeteksi server pengendali perintah (C&C) milik grup Mustang Panda yang menjalankan malware berjenis PlugX.

Baca juga: Jaringan 10 Kementerian dan Lembaga Negara Indonesia Diduga Diretas Hacker China

Malware PlugX dipakai untuk berkomunikasi dengan beberapa host, yang kemungkinan telah terinfeksi di dalam jaringan internal milik pemerintah Indonesia.

Lantas, apa itu sebenarnya malware PlugX, dan seberapa besar bahayanya?

Definisi Malware PlugX

Menurut perusahahan kemanan jaringan RSA, PlugX merupakan jenis malware Remote Access Trojan (RAT). Malware ini ditemukan pertama kali pada tahun 2008. Tipe PlugX memiliki banyak nama, seperti Destroy RAT, Kaba, Korplug, Sogu, dan TIGERPLUG.

Selain Mustang Panda, beberapa aktor yang diketahui menjalankan malware ini di antaranya, APT 22, APT 26, APT31, APT41, Aurora Panda, Calypso group, DragonOK, EMISSARY PANDA, Hellsing, Hurricane Panda, Leviathan, Mirage, NetTraveler, Nightshade Panda, Samurai Panda, Stone Panda, UPS, dan Violin Panda.

PlugX menggunakan backdoor untuk mengambil alih dan mengendalikan perangkat target sepenuhnya. Sekalinya perangkat terinfeksi, hacker bisa melakukan beberapa perintah dari jarak jauh pada sistem target.

Baca juga: 8 Aplikasi Android di Play Store Terjangkit Malware Joker, Segera Hapus dari Ponsel Anda

Kemampuan yang bisa dilakukan hacker setelah berhasil menguasai perangkat target pun cukup banyak, tapi utamanya adalah untuk mengambil data atau mengambil alih perangkat secara ilegal.

Beberapa hal yang bisa dilakukan hacker dari jarak jauh di antaranya, mengambil informasi perangkat, menangkap layar (screen shot), mengirim informasi yang diketik keyboard atau mouse, keylogging, dan reboot system, sebagaimana dirangkum dari Malpedia.

Di perangkat target, mereka juga bisa mengelola proses (membuat, menghancurkan, dan menghitung), mengelola layanan (membuat, memulai, memodifikasi, dan menghentikan), serta mengelola Windows, mencatat kejadian dalam file text log, dan sebagainya.

Disebarkan lewat e-mail

Dirangkum dari Cyber New Jersey, PlugX biasanya disebarkan lewat lampiran e-mail. Biasanya lampiran disisipkan dalam e-mail spearphishing atau penipuan via e-mail, yang seolah-olah dikirim dari alamat yang dikenali atau terpercaya.

Spearphishing biasanya membujuk calon korban untuk mengungkap informasi rahasia. E-mail berisi malware ini biasanya menargetkan bisnis dan organisasi tertentu, lalu mengeksploitasi kerentanan yang ada di dalam Adobe Acrobat Reader dan Microsoft Word.

Lampiran e-mail tadi berisi file yang tampak tidak mencurigakan, tapi mengandung Dynamic-link library (.DLL) berbahaya, dan file biner yang berisi kode berbahaya.

Baca juga: 3 Miliar E-mail dan Password Bocor di Internet, Cek Apakah Anda Terdampak

File .DLL sendiri adalah file yang tidak bisa dieksekusi dan digunakan untuk menyimpan data-data yang diperlukan oleh suatu aplikasi. Biasanya, file .DLL berisi bilangan biner yang digunakan oleh aplikasi, yang bisa dieksekusi untuk mendapatkan file-file tertentu.