Waspada dengan Kopi Luwak Berbahaya!

Jakarta, Wikimedan – Sejauh ini Kopi Luwak dikenal sebagai minuman kopi yang nikmat dikonsumsi. Kini nama Kopi Luwak tak hanya digunakan untuk nama kopi, melainkan sebuah malware berbahaya. Malware Kopi Luwak sendiri diambil dari jenis kopi langka yang pertama kali ditemukan pada November 2016.

Cara kerjanya, KopiLuwak mengirimkan dokumen yang berisi malware dengan macro yang diaktifkan dan menggunakan malware Javascript baru yang disamarkan. Setelah berhasil menyusup, malware melakukan pengintaian sistem dan jaringan. Evolusi terbaru dari KopiLuwak berhasil dideteksi oleh para Kaspersky Lab pada pertengahan 2018 di kawasan Suriah dan Afghanistan.

Para peneliti Kaspersky Lab memantau berbagai kelompok pelaku ancaman berbahasa Rusia, Turla yang juga dikenal sebagai Snake atau Uroburos. Mereka memanfaatkan evolusi terkini dari malware Kopi Luwak berupa kode yang hampir identik dengan teknik yang digunakan sebelumnya pada operasi Zebrocy. Ini merupakan bagian dari Sofacy yang juga dikenal sebagai Fancy Bear dan APT28, pelaku ancaman siber berbahasa Rusia yang sudah lama ada.

Para peneliti juga menemukan target yang tumpang tindih antara dua pelaku ancaman yaitu geopolitik di Asia Tengah serta entitas pemerintahan dan militer. Turla menggunakan vektor pengiriman spear-phishing dengan Windows shortcut (.LNK) file.

Analisis menunjukkan bahwa file LNK berisi PowerShell untuk melakukan decode dan menjatuhkan muatan KopiLuwak. PowerShell ini hampir identik dengan yang digunakan dalam aktivitas Zebrocy sebulan sebelumnya.

Para peneliti juga menemukan beberapa target yang sama di antara keduanya yaitu target politik yang sensitif, termasuk entitas penelitian pemerintah dan keamanan, hingga misi diplomatik dan urusan militer terutama di Asia Tengah. Varian malware lainnya yang dilancarkan oleh Turla yaitu Carbon dan Mosquito berhasil ditemukan oleh para peneliti selama 2018.

Para peneliti memberikan bukti lebih lanjut untuk mendukung hipotesis bahwa Turla memanfaatkan jaringan Wi-Fi untuk mengirimkan malware Mosquito kepada target. Peneliti Kaspersky Lab juga menemukan modifikasi lebih lanjut dari Carbon yang merupakan aksi cyberespionage.

“Turla adalah salah satu pelaku kejahatan siber tertua. Mereka terus bertahan dan secara berkelanjutan melakukan inovasi ancaman dan pendekatan baru. Penelitian kami khususnya terhadap kelompok ini selama 2018 menunjukkan bahwa Turla terus berkembang dan bereksperimen. Jika dibandingkan dengan pelaku ancaman berbahasa Rusia lain seperti CozyDuke (APT29) dan Sofacy yang menargetkan organisasi di barat, seperti kasus dugaan peretasan Democratic National Committee pada tahun 2016, Turla justru diam-diam mengerahkan operasinya ke arah timur. Dimana aktivitas bahkan teknik distribusi mereka baru-baru ini mulai mirip dengan subset Sofiz’s Zebrocy,” jelas Kurt Baumgartner, peneliti keamanan utama di tim GReAT Kaspersky Lab melalui keterangan tertulisnya.

Disampaikan Kurt, Malware ini ditanamkan di target yang terpilih dengan kepentingan tertentu. Kemungkinan akan terjadi modifikasi kode dan berlanjut pada tahun 2019.

Target Turla di 2018 dengan malware ini termasuk Timur Tengah dan Afrika Utara, serta Eropa Barat dan Timur, Asia Tengah dan Selatan dan Amerika. Peneliti Kaspersky Lab belum menemukan data apakah malware KopiLuwak akan menyerang Indonesia. Semoga saja malware KopiLuwak tidak menyerang tanah air.