Hacker Tiongkok Buat Virus yang Tidak dapat Hilang Walau telah Instal Ulang
Para pengamat computer security berhasil dibuat menganga oleh hacker yang berasal dari Negeri Tirai Bambu sana dikarenakan sebuah malware yang mereka ciptakan yang diberi nama "IntelUpdate.exe" pada folder Startup. Virus ini memiliki keistimewaan dikarenakan virus ini dapat kembali di komputer yang terinfeksi walau komputer tersebut telah diinstal ulang.
Dilansir dari PCMag, Kaspersky Lab menemukan malware ini yang dapat mengekploitasi UEFI komputer untuk dapat bertahan meskipun Windows berhasil diinstal ulang.
Peringatan: Bahasa teknis akan digunakan pada tulisan ini.
Menyerang UEFI sangatlah beresiko dikarenakan UEFI digunakan untuk booting pada sebuah mesin komputer dan masuk ke sistem operasi. UEFI juga beroperasi terpisah dari hard disk komputermu dan biasanya tersimpan di motherboard sebagai firmware. Sehingga, malware ini bisa berhasil bertahan dari reinstall yang dilakukan oleh pengguna.
Menurut Mark Lechtik, serangan ini dapat menguntungkan aktor dikarenakan dapat melakukan hal yang lebih jauh lagi terhadap komputer targetnya. "Sejak aplikasi ini dieksekusi dari SPI, tidak ada cara lain untuk melewati proses ini selain membasmi firmware jahat itu", kata Mark Lechtik, peneliti di Kaspersky Lab.
[1/n] I'm happy to share a significant research done by @2igosha and myself. What we found was a UEFI rootkit in the wild, customized from Hacking Team's leaked Vector-EDK code. That would be the second time we see something like this publiclyhttps://t.co/d4Sj29q3Yp
— Mark Lechtik (@_marklech_) October 5, 2020
Tujuan malware ini seperti Trojan pada umumnya, malware ini akan mengirimkan hacking tools ke komputer target dan akan mencari data-data yang terakhir di buka dari folder "Recent Documents". Setelah itu, data tersebut akan diupload ke server hacker tersebut apabila file tersebut bernilai bagi hacker tersebut.
Kaspersky Lab menahan diri untuk tidak menyebutkan nama para korban, tetapi mengatakan bahwa pelakunya telah mengejar komputer milik "entitas diplomatik dan LSM di Afrika, Asia, dan Eropa." Semua korban memiliki hubungan tertentu dengan Korea Utara, baik melalui kegiatan nirlaba dan sebagainya.
Saat memeriksa kode komputer perangkat lunak perusak, Kaspersky Lab juga memperhatikan bahwa proses tersebut dapat menjangkau server perintah dan kontrol yang sebelumnya terkait dengan kelompok peretasan yang diduga disponsori oleh Tiongkok yang dikenal sebagai Winnti. Selain itu, mereka menemukan bukti bahwa pembuat malware menggunakan bahasa Mandarin saat memprogram kode tersebut.
Namun, Kaspersky Lab menahan diri untuk tidak memanggil kelompok tertentu untuk serangan tersebut. “Karena ini adalah satu-satunya penghubung antara temuan kami dan grup mana pun yang menggunakan pintu belakang Winnti, kami memperkirakan dengan keyakinan rendah bahwa itu memang bertanggung jawab atas serangan tersebut,” Kaspersky Lab menambahkan.
Untuk menghapus malware ini, Kaspersky menyarankan untuk meng-update firmware motherboard ke versi yang terbaru.