Mengenal PlugX, Malware yang Menyusup ke Jaringan Kementerian di Indonesia

Ilustrasi kejahatan digital, data pribadi, peretasan, peretasan digital, hacker(Shutterstock)

Jaringan internal milik sepuluh Kementerian dan Lembaga Negara Indonesia diduga diretas oleh sekelompok hacker asal China. Salah satu lembaga yang diklaim telah dibobol adalah Badan Intelijen Negara (BIN).


Menurut laporan dari peneliti keamanan Insikt Group, aksi pembobolan ini dilakukan oleh kelompok bernama Mustang Panda, kelompok peretas asal China yang target operasinya ada di wilayah Asia Tenggara.

Insikt Group mengklaim, mereka mendeteksi server pengendali perintah (C&C) milik grup Mustang Panda yang menjalankan malware berjenis PlugX.

Malware PlugX dipakai untuk berkomunikasi dengan beberapa host, yang kemungkinan telah terinfeksi di dalam jaringan internal milik pemerintah Indonesia.

Lantas, apa itu sebenarnya malware PlugX, dan seberapa besar bahayanya?

Definisi Malware PlugX

Menurut perusahahan kemanan jaringan RSA, PlugX merupakan jenis malware Remote Access Trojan (RAT). Malware ini ditemukan pertama kali pada tahun 2008. Tipe PlugX memiliki banyak nama, seperti Destroy RAT, Kaba, Korplug, Sogu, dan TIGERPLUG.

Selain Mustang Panda, beberapa aktor yang diketahui menjalankan malware ini di antaranya, APT 22, APT 26, APT31, APT41, Aurora Panda, Calypso group, DragonOK, EMISSARY PANDA, Hellsing, Hurricane Panda, Leviathan, Mirage, NetTraveler, Nightshade Panda, Samurai Panda, Stone Panda, UPS, dan Violin Panda.

PlugX menggunakan backdoor untuk mengambil alih dan mengendalikan perangkat target sepenuhnya. Sekalinya perangkat terinfeksi, hacker bisa melakukan beberapa perintah dari jarak jauh pada sistem target.

Kemampuan yang bisa dilakukan hacker setelah berhasil menguasai perangkat target pun cukup banyak, tapi utamanya adalah untuk mengambil data atau mengambil alih perangkat secara ilegal.

Beberapa hal yang bisa dilakukan hacker dari jarak jauh di antaranya, mengambil informasi perangkat, menangkap layar (screen shot), mengirim informasi yang diketik keyboard atau mouse, keylogging, dan reboot system, sebagaimana dirangkum dari Malpedia.

Di perangkat target, mereka juga bisa mengelola proses (membuat, menghancurkan, dan menghitung), mengelola layanan (membuat, memulai, memodifikasi, dan menghentikan), serta mengelola Windows, mencatat kejadian dalam file text log, dan sebagainya.

Disebarkan lewat e-mail Dirangkum dari Cyber New Jersey, PlugX biasanya disebarkan lewat lampiran e-mail. Biasanya lampiran disisipkan dalam e-mail spearphishing atau penipuan via e-mail, yang seolah-olah dikirim dari alamat yang dikenali atau terpercaya.

Spearphishing biasanya membujuk calon korban untuk mengungkap informasi rahasia. E-mail berisi malware ini biasanya menargetkan bisnis dan organisasi tertentu, lalu mengeksploitasi kerentanan yang ada di dalam Adobe Acrobat Reader dan Microsoft Word.

Lampiran e-mail tadi berisi file yang tampak tidak mencurigakan, tapi mengandung Dynamic-link library (.DLL) berbahaya, dan file biner yang berisi kode berbahaya.

File .DLL sendiri adalah file yang tidak bisa dieksekusi dan digunakan untuk menyimpan data-data yang diperlukan oleh suatu aplikasi. Biasanya, file .DLL berisi bilangan biner yang digunakan oleh aplikasi, yang bisa dieksekusi untuk mendapatkan file-file tertentu.

Pencegahan

Salah satu pencegahan yang bisa dilakukan adalah dengan tidak membuka e-mail yang mencurigakan atau dikirim dari alamat tidak dikenal.

Dikarenakan penipu biasa menggunakan alamat e-mail yang mirip dengan e-mail resmi, ada baikya untuk lebih mencermati sebelum membuka e-mail dan mengunduh lampiran.

Sebisa mungkin, perangkat menjalankan sistem operasi dan aplikasi yang telah diperbarui (update) untuk membantu melindungi perangkat dari ancaman malware seperti PlugX.

Negara yang pernah diserang PlugX Sebelum Indonesia, beberapa negara lain juga pernah dilaporkan diserang malware PlugX.

Pada November 2014, PlugX RAT kabarnya digunakan untuk mencuri informasi intelijen Afghanistan dan militer Rusia, menurut laporan Security Week. Rusia dan Belarusia juga pernah mendapat serangan PlugX dan malware ZeroT pada tahun 2017, menurut laporan dari Proofpoint.

Sumber : https://tekno.kompas.com/read/2021/09/13/11010037/mengenal-plugx-malware-yang-menyusup-ke-jaringan-kementerian-di-indonesia?page=all

Comments