Memasuki tahun 2012, dunia kembali disibukkan dengan kemunculan threat-threat baru yang menyesaki dunia cyber dan komputer. Win32/Georbot salah satunya, botnet yang muncul dengan beberapa fitur komunikasi yang cukup menarik perhatian para peneliti malware di lab ESET global. Apa dan bagaimana sepak terjang malware Win32/Georbot di dunia maya, marilah kita ikuti penjelasan berikut ini.
Win32/Georbot melakukan aktifitas sebagaimana layaknya botnet biasa, ia juga beroperasi untuk mencuri informasi, dokumen, dan sertifikat yang tersimpan didalam komputer. Selain itu, juga mampu merekam baik audio maupun video, serta melakukan browsing didalam jaringan lokal dan mencari informasi yang diinginkan. Hal lain yang tidak kalah menariknya adalah Win32/Georbot memanfaatkan website milik pemerintah Georgia – sebuah negara yang terletak di wilayah antara benua Asia dan Eropa – untuk update informasi command and controlnya (C&C)
Yang mengkhawatirkan adalah sesuai pemantauan ESET, ternyata malware Georbot terus berkembang, dan ESET menemukan adanya varian baru yang ditemukan pada 20 Maret 2012 yang lalu. Perkembangan tersebut dimungkinkan karena Georbot memiliki fitur mekanisme update yang mampu merubahnya menjadi bot versi baru dengan tujuan agar tidak terdeteksi oleh mesin scanner anti-malware, keistimewaan lainnya adalah mampu melakukan mekanisme fallback – jika bot berada dalam situasi dimana bot tidak bisa mencapai C&C server; bot akan terhubung ke webpage yang dikelola oleh pemerintah Georgia.
“Orang seringkali tidak sadar kalau sistem komputernya telah diretas” demikian dikatakan oleh Pierre-Marc Bureau, Program Manager untuk security intelligence di ESET. “Pihak berwenang di Georgia yaitu Data Exchange Agency of the dari Kementerian Kehakiman Negara Georgia dan Badan CERT di Georgia sudah mengetahui adanya tindak peretasan tersebut sejak awal tahun 2011. dan, langsung dikomunikasikan dan dilakukan penyelidikan bersama dengan pihak ESET untuk menangani peretasan tersebut. Hingga saat ini selain identifikasi dan penyelidikan lebih jauh dengan para peneliti ESET, monitoring terhadap Win32/Georbot masih tetap dilakukan untuk mengetahui perkembangan lebih lanjut. Sementara ini hasil identifikasi meyeluruh terhadap botnet, dari seluruh komputer yang terjangkit Win32/Georbot, 70 persen diantaranya berlokasi di Georgia kemudian diikuti Amerka Serikat, Jerman dan Russia.”
Didalam operasinya, Botnet Win32/Georbot memanfaatkan karakteristik unik yaitu setelah botnet terinstall didalam komputer korban ia mencari “File Remote Desktop Configuration” dan kemudian mengaktifkan trojan yang masuk untuk mencari file-file tertentu kemudian meng-uploadnya ke remote server tanpa perlu memanfaatkan kerentanan apapun pada OS.
Menggunakan webpage milik pemerintah sebagai “induk semang” disinyalir digunakan untuk media penyebarluasan bot, mengingat website pemerintah adalah media strategis yang akan diakses oleh masyarakat Georgia, sehingga dengan demikian memunculkan dugaan bahwa target utama dari infeksi bot adalah masyarakat Georgia sendiri. Tetapi tindakan mendompleng website pemerintah Georgia bukan berarti pemerintah Georgia terlibat dalam aksi peretasan ini.
Proses identifikasi hingga hari ini menghasilkan sebuah temuan menarik yaitu dokumen berbahasa Inggris berisi kata kunci terkait dengan sistem komputer jaringan milik lembaga pemerintah dan swasta yang telah dikonfirmasi terserang malware Georbot diantaranya kementerian, militer dan dinas rahasia Amerika dan Rusia (CIA dan FSB), KGB, FBI.
Yudhi Kukuh, Technical Consultant PT. Prosperita-ESET Indonesia menyampaikan “serangan Win32/Georbot diyakini dilancarkan oleh sekelompok peretas bertujuan mendapatkan informasi rahasia untuk diperjual-belikan ke pihak lain; Jadi ada motif ekonomi dibalik serangan ini, tetapi Georbot menggunakan metode yang berbeda dari serangan botnet yang pernah ada”
“Pelaku cybercrime saat ini bekerja semakin professional dengan targetnya adalah nama-nama besar dibidang tertentu. Beberapa contoh lain threat cybercrime yang berteknologi tinggi yaitu Win32/Stuxnet dan Win32/Duqu keduanya juga beroperasi dengan tujuan yang spesifik tetapi Stuxnet dan Duqu belum secanggih Win32/Georbot yang memiliki fitur khusus dan metode yang memungkinkan bot tersebut mengakses kedalam sistem pusat dan mencari data yang diinginkan oleh pengembang Georbot.” demikian disampaikan Righard Zwienenberg, seorang peneliti senior di ESET.
