Ancaman ini pernah mengguncang pembukaan Olimpiade Musim Dingin di Pyeongchang. Para hackers nampaknya kini menargetkan ke Jerman, Perancis, Swiss, Belanda, Ukraina dan Rusia, dan berfokus pada organisasi yang terlibat dalam perlindungan terhadap ancaman kimia dan biologi.
"Dengan Cybercrime yang menargetkan peristiwa global seperti Olimpiade Musim Dingin, kita harus waspada, terutama pada acara olahraga mendatang yang lebih dekat, seperti Asian Games pada Agustus 2018 yang akan diselenggarakan di Indonesia," kata Yeo Siang Tiong, General Manager Kaspersky Lab Asia Tenggara, dalam keterangan tertulis yang diterima di Jakarta, Senin.
Olympic Destroyer adalah ancaman canggih yang menyerang penyelenggara, pemasok dan mitra Olimpiade Musim Dingin 2018 di Pyeongchang, Korea Selatan, dengan operasi sabotase siber menggunakan worm jaringan perusak.
Banyaknya indikator berbeda mengenai asal serangan membuat kebingungan pada informasi keamanan industri Februari 2018.
Dari petunjuk yang ditemukan Kaspersky Lab, menduga kelompok Lazarus dari Korea Utara sebagai aktor di belakang ancaman ini.
Namun, pada bulan Maret, Kaspersky Lab menegaskan bahwa kampanye tersebut menampilkan pengalihan yang rumit, sehingga membuka kemungkinan Lazarus bukan pelakunya.
Para peneliti Kaspersky Lab kini menemukan operasi Olympic Destroyer kembali beraksi menggunakan metode infiltrasi dan toolset yang pernah dipakai sebelumnya dengan Eropa kini sebagai targetnya.
Ancaman tersebut menyebarkan malware melalui dokumen dengan metode spear-phishing yang mirip dengan dokumen-dokumen yang digunakan sebagai persiapan Olimpiade Musim Dingin.
Salah satu dokumen merujuk pada "Convergence Spiez," konferensi ancaman bio-kimia yang diadakan di Swiss dan diselenggarakan oleh Spiez Laboratory, sebuah organisasi yang memainkan peran kunci dalam penyidikan serangan Salisbury.
Dokumen lain menargetkan entitas otoritas kontrol kesehatan dan veteriner di Ukraina. Beberapa dokumen spear-phising ditemukan dalam bahasa Rusia dan Jerman.
Dokumen perusak yang disebar dirancang untuk mencari akses dan menyusupi komputer yang rentan. Framework open-source dan cuma-cuma yang secara luas dikenal sebagai Powershell Empire, digunakan untuk tahap kedua serangan tersebut.
Para penyerang tampaknya menggunakan server web yang disusupi menghosting dan mengontrol malware. Server-server ini menggunakan Joomla, content management system (CMS) berbasis open-source yang populer.
Para peneliti menemukan bahwa salah satu server hosting payload perusak menggunakan versi Joomla (v1.7.3) yang dirilis pada bulan November 2011, dan menunjukkan bahwa varian CMS yang sangat ketinggalan zaman sekalipun dapat digunakan oleh penyerang untuk meretas server.
Berdasarkan telemetri Kaspersky Lab dan dokumen yang diunggah ke layanan multi-scanner, Olympic Destroyer ini tampaknya memiliki ketertarikan untuk menargetkan ancamannya ke Jerman, Prancis, Swiss, Belanda, Ukraina dan Rusia.
"Kemunculannya, pada awal tahun ini, menunjukkan Olympic Destroyer menggunakan upaya penipuan canggih sehingga mengubah permainan selamanya dan memperlihatkan betapa mudahnya membuat kesalahan dengan hanya menggunakan fragmen dari gambar yang terlihat oleh para peneliti," kata Vitaly Kamluk, peneliti keamanan di tim GReAT Kaspersky Lab.
"Analisis dan pencegahan ancaman ini harus melalui kerja sama antara sektor swasta dan pemerintah lintas batas negara. Kami berharap bahwa dengan berbagi temuan publik ini, para pelaku keamanan siber akan lebih dapat mengenali dan mencegah serangan canggih pada tahap apa pun di masa depan," tambah dia.
Baca juga: Olimpiade Pyeongchang kena serangan siber
Pewarta: Arindra Meodia
Editor: Ida Nurcahyani
Copyright © ANTARA 2018