Pemerintah Amerika Serikat telah mengumumkan peringatan perihal operasi hacking yang disponsori oleh Korea Utara yang berlangsung selama delapan tahun. Laporan tersebut muncul melalui FBI dan U.S. Department of Homeland Security (DHS) memberi rincian tentang "DeltaCharlie," varian malware yang digunakan oleh kelompok hacking "Hidden Cobra" untuk menginfeksi ratusan ribu komputer secara global sebagai bagian dari DDoS botnet network. Menurut laporan tersebut, kelompok hacker Hidden Cobra diyakini didukung oleh pemerintah Korea Utara dan diketahui meluncurkan serangan cyber terhadap institusi global, termasuk organisasi media, sektor kedirgantaraan, keuangan, dan infrastruktur penting.


Sementara pemerintah AS telah memberi label kelompok hacking Korea Utara sebagai Hidden Cobra, sering dikenal sebagai Lazarus Group and Guardians of Peace - yang diduga terkait dengan ancaman ransomware WannaCry yang menghancurkan rumah sakit dan bisnis di seluruh dunia. FBI dan DHS mengidentifikasi alamat IP dengan "high confidence" yang terkait dengan "DeltaCharlie" - alat DDoS yang dipercaya oleh DHS dan FBI bahwa Korea Utara adalah pemicu serangan denial-of-service (DDoS) terdistribusi terhadap sasarannya. DeltaCharlie mampu meluncurkan berbagai serangan DDoS pada targetnya, termasuk serangan Domain Name System (DNS), serangan Network Time Protocol (NTP), dan serangan Character Generation Protocol (CGP).

Malware botnet mampu mengunduh file executable pada sistem yang terinfeksi, memperbarui binernya sendiri, mengubah konfigurasinya sendiri secara real-time, menghentikan prosesnya, dan mengaktifkan serta menghentikan serangan DDoS. Malware DeltaCharlie DDoS bukanlah hal baru, DeltaCharlie awalnya dilaporkan oleh Novetta dalam laporan Malware Blockbuster 2016 mereka [PDF], yang menggambarkan sebagai malware botnet ketiga yang diluncurkan oleh kelompok hacker Korea Utara, setelah DeltaAlpha dan DeltaBravo.

Malware lain yang digunakan oleh Hidden Cobra termasuk Destover, Wild Positron atau Duuzer, dan Hangman dengan kemampuan canggih, termasuk botnet DDoS, keyloggers, remote access tools (RATs), dan malware wiper. Beroperasi sejak 2009, Hidden Cobra biasanya menargetkan sistem yang menjalankan versi sistem operasi Microsoft yang lebih tua dan tidak didukung update dari Microsoft, dan umumnya memanfaatkan kerentanan Adobe Flash Player untuk mendapatkan titik masuk awal ke mesin korban. Ini adalah kerentanan yang diketahui mempengaruhi berbagai aplikasi yang biasanya dieksploitasi oleh Hidden Cobra:

    Hangul Word Processor bug (CVE-2015-6585)
    Microsoft Silverlight flaw (CVE-2015-8651)
    Adobe Flash Player 18.0.0.324 and 19.x vulnerability (CVE-2016-0034)
    Adobe Flash Player 21.0.0.197 Vulnerability (CVE-2016-1019)
    Adobe Flash Player 21.0.0.226 Vulnerability (CVE-2016-4117)

Cara termudah untuk mempertahankan diri terhadap serangan semacam itu adalah selalu menjaga agar sistem operasi dan perangkat lunak dan aplikasi Anda tetap up-to-date, dan melindungi aset jaringan Anda di balik firewall. Karena Adobe Flash Player rentan terhadap banyak serangan, Anda disarankan untuk memperbarui atau menghapusnya sepenuhnya dari komputer Anda. FBI dan DHS telah menyediakan banyak indicators of compromise (IOC), deskripsi perangkat keras, network signatures, serta peraturan berbasis host (peraturan YARA) dalam upaya untuk membantu mendeteksi aktivitas yang dilakukan oleh kelompok hacking yang disponsori oleh Korea Utara.

    "Jika pengguna atau administrator mendeteksi alat khusus yang menunjukkan HIDDEN COBRA, alat ini harus segera ditandai, dilaporkan ke Pusat Komunikasi dan Integrasi Cybersecurity DHS Nasional (NCCIC) atau FBI Cyber ​​Watch (CyWatch), dan diberi prioritas tertinggi untuk mitigasi,"

Selain itu, agensi juga telah menyediakan daftar panjang mitigasi bagi pengguna dan administrator jaringan, yang dapat Anda ikuti di sini.
 
Top