Penyaring Spionase RohNet Cyber ​​Masih Memiliki Ujung yang Longgar

Hampir tiga bulan setelah sebuah laporan yang memerinci operasi spionase dunia maya yang luas, banyak negara yang diretas belum secara resmi dinotifikasi.

Hambatan hukum telah menghambat upaya untuk menghubungi banyak negara yang komputernya di kedutaan dan kementerian urusan luar negeri terinfeksi dengan perangkat lunak berbahaya yang mampu mencuri data, kata Nart Villeneuve, salah satu penulis laporan 53 halaman rinci yang memberi cahaya baru pada tingkat mata-mata cyber.

Laporan ini ditulis oleh analis dengan Information Warfare Monitor, sebuah proyek penelitian dari SecDev Group, sebuah think tank, dan Munk Center for International Studies di University of Toronto.

g: Bagaimana cara menghapus malware dari PC Windows Anda]

Para analis menemukan sebuah operasi yang dijuluki "GhostNet" yang menginfeksi komputer milik organisasi nonpemerintah Tibet dan kantor pribadi Dalai Lama.

Investigasi lebih lanjut menunjukkan komputer dari 103 negara terinfeksi serta organisasi seperti sekretariat ASEAN (Asosiasi Negara-negara Asia Tenggara) dan Bank Pembangunan Asia. Data dikirim ke server jarak jauh, banyak di antaranya berlokasi di China.

Laporan ini adalah salah satu investigasi yang dipublikasikan secara publik pertama yang menunjukkan betapa mudahnya bagi peretas untuk menargetkan organisasi melalui rekayasa sosial dan serangan malware.

peretas menggunakan malware yang umum tersedia, alat akses jarak jauh yang disebut gh0st RAT (Alat Akses Jarak Jauh), untuk mencuri dokumen sensitif, mengoperasikan Cams Web dan sepenuhnya mengendalikan komputer yang terinfeksi. Dalam kasus LSM Tibet, staf menerima e-mail yang berisi dokumen Microsoft Word yang jika dibuka mengeksploitasi kerentanan yang diketahui yang tidak ditambal dalam aplikasi.

Sejumlah kesalahan oleh peretas memungkinkan peneliti untuk menentukan server yang digunakan. untuk mengumpulkan data dan sejauh mana penyelidikan, kata Villeneuve.

Villeneuve mengatakan informasi terperinci tentang komputer yang dikompromikan hanya diberikan kepada Pusat Penanggulangan Insiden Cyber ​​Kanada (CCIRC), pusat pelaporan cyber nasional negara itu. CCIRC sedang dalam proses menghubungi beberapa kelompok yang terkena dampak, katanya.

Para analis yang menulis laporan merasa bahwa itu adalah pilihan paling aman, karena mereka tidak ingin mengungkapkan secara pasti komputer apa yang telah dikompromikan ke negara-negara yang dapat berpotensi menyalahgunakan informasi sensitif.

"Jika Anda dapat membayangkan menyerahkan daftar komputer yang terinfeksi ini ke CERT Cina (Tim Tanggap Darurat Komputer), [itu] akan menjadi sesuatu yang tidak nyaman bagi saya," kata Villeneuve., yang berbicara di sela-sela Konferensi tentang Perang Maya, Kamis di Tallinn, Estonia. "Kami merasa kami agak dalam kekosongan hukum semacam ini."

Karena laporan itu menyebut negara-negara yang terpengaruh, mereka mungkin menyadari apa yang terjadi, kata Villeneuve. Tapi fakta bahwa semua belum diberitahu menggarisbawahi keprihatinan atas berbagi informasi tentang insiden cyber.

Villeneuve mengatakan dia "paranoid dan takut" tentang masuk penjara atas penelitiannya, meskipun semua itu dilakukan sejalan dengan standar etika dan bahwa pencarian Google yang sederhana menemukan beberapa informasi yang paling memberatkan tentang bagaimana Hantu mengumpulkan data.

"Saya lebih suka tidak menakuti pihak berwenang dengan memiliki semua informasi ini tentang host yang terinfeksi dan sensitif," kata Villeneuve.. "Kami merasa perlu melalui saluran yang tepat, yang terbaik yang dapat kami katakan adalah Pusat Respons Insiden Cyber."

Laporan itu telah berfungsi sebagai panggilan untuk membangunkan organisasi tentang keamanan. Namun, LSM yang lebih kecil sering tidak memiliki keahlian untuk menerapkan keamanan komputer yang lebih menyeluruh meskipun kurangnya itu adalah ancaman, kata Villeneuve.

Sejak laporan itu dipublikasikan pada bulan Maret, GhostNet telah menguap. Server yang mengumpulkan data offline dengan hari rilis laporan. China secara resmi menolak koneksi ke operasi, dan mereka yang bertanggung jawab untuk menjalankannya tidak pernah diidentifikasi, kata Villeneuve.