TEMPO.CO, Jakarta - Kelompok Seedworm bergerak sebagai kelompok spionase siber untuk memperoleh data intelejen yang menguntungkan kepentingan sponsornya. Kelompok ini menggunakan alat (tool) khusus, Powermud, dan skrip khusus PowerShell, LaZagne, dan Crackmapexec.
Baca juga: Hacker Cina Retas Kontraktor AS, Curi Data Rudal dan Kapal
"Kelompok Seedworm mengendalikan backdoor Powermud dari belakang jaringan proxy untuk menyembunyikan lokasi command-and-control (C&C) utama. Kelompok Seedworm adalah satu-satunya kelompok yang diketahui menggunakan backdoor Powermud," ujar peneliti dari Symantec, dalam keterangan tertulis, Kamis, 13 Desember 2018.
Setelah menginfeksi sebuah sistem, biasanya dengan menginstal Powermud atau Powemuddy. Seedworm pertama menjalankan tool yang dapat mencuri kata sandi yang disimpan di browser web dan email pengguna, yang menunjukkan bahwa akses ke email, media sosial, dan akun chat korban.
Mereka kemudian menggunakan tool open source seperti LaZagne dan Crackmapexec untuk mendapatkan kredensial otorisasi Windows. Seedworm menggunakan versi off-the-shelf yang tidak dimodifikasi dari tool tersebut, serta varian yang dikompilasi khusus yang diyakini hanya digunakan oleh kelompok ini.
"Namun, sejak keberadaannya pertama kali terungkap, kami melihat Seedworm memodifikasi cara kerja kelompok. Sejak awal 2017, mereka terus memperbarui backdoor Powermud dan tool lain untuk menghindari deteksi dan untuk menggagalkan para peneliti keamanan yang hendak menganalisis tool tersebut."
Baca juga: Kaspersky Lab: Data Perguruan Tinggi Juga Jadi Sasaran Hacker
Selain itu, kelompok Seedworm juga menggunakan GitHub untuk menyimpan malware dan beberapa tool yang tersedia untuk umum, yang kemudian disesuaikan untuk meluncurkan serangan. Tim peneliti telah mengidentifikasi beberapa akun daring yang kemungkinan terkait dengan aktor di balik operasi Seedworm.
"Temuan pertama adalah repositori Github publik yang berisi skrip yang sangat cocok dengan yang teramati dalam operasi Seedworm," kata peneliti itu. "Tautan tambahan kemudian dibuat ke sebuah akun Twitter dengan data profil yang serupa."
Akun Twitter tersebut mengikuti banyak peneliti keamanan, termasuk mereka yang telah menulis tentang kelompok ini di masa lalu, serta pengembang yang menulis tool open source yang mereka gunakan. Akun tersebut kemungkinan dikendalikan oleh kelompok Seedworm.
Repositori Github berisi skrip PowerShell yang telah dijalankan pada aktivitas host korban yang dikaitkan dengan Seedworm. Terdapat banyak juga perintah Crackmapexec PowerShell yang cocok dengan aktivitas host korban.
Baca juga: Tips Teknologi: Mengurangi Risiko Peretasan
Simak artikel menarik lainnya seputar kelompok Seedworm hanya di kanal Tekno Tempo.co.