Media Magelang - Kelompok peretasan yang dikenal dengan nama ScarCruft diduga terlibat dalam serangan siber yang menargetkan infrastruktur teknologi informasi (TI) dan server email dari perusahaan perancang rudal Rusia, NPO Mashinostroyeniya.
NPO Mashinostroyeniya adalah perusahaan yang memiliki peran dalam merancang dan memproduksi berbagai kendaraan orbital, pesawat luar angkasa, serta rudal pertahanan dan serangan taktis yang digunakan oleh militer Rusia dan India.
Sejak tahun 2014, Departemen Keuangan Amerika Serikat (AS) telah memberlakukan sanksi terhadap NPO Mashinostroyeniya atas peran perusahaan ini dalam konflik antara Rusia dan Ukraina.
Baca Juga: Aksi Yi Long Ma Kembaran Elon Musk Asal Tiongkok yang Latihan untuk Tantang Mark Zuckerberg
SentinelLabs baru-baru ini melaporkan bahwa ScarCruft berada di belakang serangan siber yang mengincar server email dan sistem TI milik NPO Mashinostroyeniya.
Dalam serangan ini, para pelaku peretasan memasang "backdoor" Windows yang dikenal sebagai 'OpenCarrot' untuk mendapatkan akses jarak jauh ke dalam jaringan korban.
Kendati tujuan utama serangan ini masih belum terungkap sepenuhnya, ScarCruft atau dikenal juga dengan sebutan APT37, merupakan kelompok peretasan yang terlibat dalam kegiatan spionase siber, yakni mencuri data dari berbagai organisasi sebagai bagian dari kampanye siber mereka.
Para ahli keamanan yang memeriksa insiden ini menemukan bahwa sistem perusahaan NPO Mashinostroyeniya mengalami pelanggaran keamanan setelah menganalisis kebocoran email yang berisi informasi rahasia dari perusahaan tersebut.
Laporan dari tim teknologi informasi perusahaan ini juga memperingatkan adanya potensi insiden keamanan siber pada pertengahan Mei 2022.
SentinelLabs kemudian memanfaatkan informasi yang bocor dari email untuk melakukan penyelidikan lebih lanjut.
Dalam penyelidikan ini, mereka menemukan bahwa tingkat infiltrasi yang dilakukan oleh peretas jauh lebih signifikan daripada yang diantisipasi oleh pihak perusahaan perancang rudal.
Hasil analisis informasi yang terdapat dalam email mengungkapkan bahwa tim teknologi informasi di NPO Mashinostroyeniya menemukan aktivitas komunikasi yang mencurigakan antara proses yang berjalan pada perangkat internal dan server eksternal.
Infiltrasi ini akhirnya membawa perusahaan untuk menemukan keberadaan Dynamic Link Library (DLL) berbahaya yang telah terinstal pada sistem internal, sehingga perusahaan harus menghubungi penyedia perangkat lunak antivirus untuk mengatasi masalah ini.
Setelah mengidentifikasi alamat IP dan indikator lain yang ditemukan dalam email, SentinelLabs menemukan bahwa NPO Mashinostroyeniya terinfeksi dengan "OpenCarrot".
Sebelumnya, malware ini telah dikaitkan dengan kelompok peretasan Korea Utara yang dikenal sebagai Lazarus Group.
Walaupun belum dapat dipastikan apakah serangan ini merupakan kerja sama antara ScarCruft dan Lazarus Group, kelompok peretas asal Korea Utara sering kali menggunakan alat dan strategi yang serupa.
Pada serangan khusus ini, varian OpenCarrot yang digunakan diimplementasikan sebagai file Dynamic Link Library (DLL), yang mendukung komunikasi melalui host jaringan internal.
Para analis keamanan siber masih dalam proses memeriksa metode infiltrasi yang digunakan dalam serangan ini, namun mereka menduga bahwa pelaku serangan mungkin telah menggunakan "backdoor" RokRAT, yang merupakan tanda khas dari kelompok peretas yang serupa.
Selain itu, SentinelLabs juga menekankan bahwa keterlibatan dua kelompok peretas yang masing-masing diduga mendapatkan dukungan dari negara dapat mengindikasikan adanya strategi yang disengaja oleh pemerintah Korea Utara, yang tampaknya mengendalikan keduanya.***