Di musim gugur 2020, terjadi serangan siber berjenis APT (Advanced Persistent Threat) yang menargetkan entitas yang terkait dengan penelitian COVID-19. Dikutip dari situs Kapersky, serangan APT menggunakan teknik peretasan terus menerus, klandestin, dan canggih untuk mendapatkan akses ke sistem dan tetap berada di dalamnya untuk jangka waktu yang lama, dengan konsekuensi yang berpotensi merusak.
Yang pertama adalah serangan terhadap badan Kementerian Kesehatan Amerika Serikat. Dua server Windows di organisasi tersebut telah disusupi dengan malware canggih pada tanggal 27 Oktober 2020. Malware yang digunakan diketahui oleh Kaspersky, bernama ‘wAgent’. Analisis lebih dekat telah menunjukkan bahwa malware wAgent yang digunakan untuk melawan kementerian kesehatan memiliki skema infeksi yang sama dengan malware yang sebelumnya digunakan oleh kelompok Lazarus dalam serangan terhadap bisnis cryptocurrency.
Insiden kedua melibatkan perusahaan farmasi. Menurut telemetri Kaspersky, perusahaan tersebut dibobol pada 25 September 2020. Perusahaan ini sedang mengembangkan vaksin COVID-19 dan juga berwenang untuk memproduksi dan mendistribusikannya. Kali ini, penyerang menyebarkan malware Bookcode, yang sebelumnya dilaporkan oleh vendor keamanan yang dikaitkan dengan Lazarus, dalam serangan rantai pasokan melalui perusahaan perangkat lunak Korea Selatan. Peneliti Kaspersky juga menyaksikan grup Lazarus melakukan spear-phishing atau menyerang situs web secara strategis untuk mengirimkan malware Bookcode di masa lalu.
Baik malware wAgent dan Bookcode, yang digunakan dalam kedua serangan tersebut, memiliki fungsi yang serupa, seperti backdoor berfitur lengkap. Setelah menerapkan muatan akhir, operator perangkat lunak perusak dapat mengontrol mesin korban dengan hampir semua cara apa pun yang mereka inginkan.
Keterkaitan Kelompok Lazarus
Mengingat diketahui adanya tumpang tindih, peneliti Kaspersky mengonfirmasi dengan penuh keyakinan bahwa kedua insiden tersebut dapat dikaitkan dengan grup Lazarus. Penelitian terkait masih berlangsung.
“Kedua insiden ini mengungkap ketertarikan kelompok Lazarus pada intelijen terkait COVID-19. Meskipun grup ini sebagian besar dikenal karena aktivitas finansialnya, ini adalah pengingat yang baik bahwa grup tersebut juga dapat mengincar penelitian strategis. Kami percaya bahwa semua entitas yang saat ini terlibat dalam aktivitas seperti penelitian vaksin atau penanganan krisis harus waspada terhadap serangan dunia maya,” komentar Seongsu Park, pakar keamanan di Kaspersky.
Produk Kaspersky mendeteksi malware wAgent sebagai HEUR: Trojan.Win32.Manuscript.gen dan Trojan.Win64.Manuscript.box.
Dan untuk Malware Bookcode sendiri terdeteksi sebagai Trojan.Win64.Manuscript.ce.