Meltdown dan Spectre, Celah Keamanan

yang Menghantui Intel

Meltdown dan Spectre merupakan kerentanan atau celah keamanan yang bisa
menghinggapi prosesor seperti Intel.

- “Ini sungguh sangat menakutkan.” 17 Januari 2018

“Kamu tak akan menyangka bahwa percakapan pribadimu akan bocor dari suatu
aplikasi,” ujar Daniel Gruss, salah satu anggota tim peneliti yang berasal dari Graz
University of Technology, Austria.

Daniel tak sembarangan mengungkapkan rasa ketakutannya. Ia beserta rekan-

rekannya membuat sebuah kode pemrograman komputer. Kode itu dirancang
dengan satu tujuan, mencuri informasi dari bagian yang paling dalam dan yang
paling terlindungi dari sistem operasi komputer. Bagian itu bernama kernel.

Kode itu kemudian bekerja dengan sukses yang membuat rasa takut Daniel
menjadi-jadi. Ia bersama para peneliti di Cyberus Technology GmbH, University of
Pennsylvania, University of Maryland, University of Adelaide, dan Google Project
Zero membuat dua paper yang berjudul “Meltdown” dan “Spectre Attacks:
Exploiting Speculative Execution” untuk menjelaskan secara rinci temuan yang
menakutkan ini.

Kini muncul istilah dalam jagat teknologi "Meltdown dan Spectre". Meltdown dan
Spectre, tulis laman resmi yang kemudian diciptakan tim peneliti, merupakan celah
keamanan kritis yang dimanfaatkan untuk mengeksplorasi prosesor modern. Dalam
sebuah pemberitaan The Verge, disebutkan bahwa hampir semua prosesor modern
keluaran Intel dalam 20 tahun terakhir terasuki Meltdown dan Spectre.

Laman resmi itu menyebut bahwa celah keamanan itu berdampak pada hampir semua
sistem, desktop, laptop, cloud server, hingga smartphone. Tim peneliti telah
menverifikasi di prosesor Intel, AMD, hingga ARM.

Charles Lim, Chapter Lead Indonesia Honeynet Project, sebuah komunitas yang
bertujuan meningkatkan keamanan di dunia teknologi, sekaligus dosen peneliti pada
Swiss German University mengatakan bahwa Meltdown dan Spectre merupakan dua
celah keamanan yang lahir atas adanya cacat desain pada prosesor. Cacat ini meliputi
Intel yang secara umum memiliki celah keamanan Meltdown dan AMD yang secara
umum memiliki celah keamanan Spectre.

“Itu karena kesalahan desain di prosesornya dan menyebabkan kita bisa mencuri
informasi dari kerentanan itu,” tegas Charles.
Konsekuensi adanya masalah karena cacat desain, tak banyak cara untuk benar-benar
memperbaiki Meltdown dan Spectre.

“Karena itu menyangkut hardware usaha apapun menggunakan software(untuk

memperbaiki Meltdown dan Spectre) hanya akal-akalan. Pada akhirnya tinggal
tunggu tanggal mainnya hacker masuk ke dalam sistem,” kata Charles.

“Cara-cara yang dilakukan cuma sifatnya sementara,” ujarnya.

Ia mengatakan bahwa Meltdown dan Spectre merupakan celah fundamental. Akibatnya,

perbaikan dalam bentuk software menyebabkan penurunan kemampuan sebuah
komputer.

“Patch itu di-apply kemungkinan sangat besar performa menurun sekitar 30 persen,”
ucap Charles.

Apa yang diucap Charles tak berbeda dengan apa yang disampaikan Intel. Pihak
Intel mengatakan bahwa update atau patch akan berpengaruh tinggi terhadap performa
komputer.

Charles menegaskan cara terbaik untuk mengatasi Meltdown dan Spectre adalah
mengganti prosesor dengan versi baru, versi yang tak terdampak, yaitu versi yang
bukan dengan patch, atau software perbaikan apapun. Ini semacam recall dalam dunia
otomotif. Sayangnya, cara recall sukar digunakan bagi Intel.

“Cara yang paling efektif prosesornya diganti. Tapi apakah Intel bisa mengganti
seluruh prosesornya di dunia. Bangkrut dia,” kata Charles.

Meltdown dan Spectre merupakan dua celah kemananan yang ditemukan berada
di titik sentral kerja suatu mesin komputer. Chris Baraniuk & Mark War
pada BBC mengatakan pada saat bekerja komputer modern mengacak data yang
besar. Proses mengacak data tersebut terkait dengan segala input yang dilakukan
pengguna.

Kernel, inti dari sistem operasi, bertugas mengkoordinasikan proses kerja ini
dengan cara memindahkan data-data ke memori yang terdapat di chip/prosesor
atau di tempat lain. Untuk memastikan data dapat tersedia dengan cepat bila
diperlukan, komputer menjalankan sebuah proses bernama speculation
execution.

Data, kemudian diproses di dalam memori sang prosesor. Di titik inilah, kerentanan atau
celah keamanan Meltdown dan Spectre menjadi masalah pangkalnya.
Mengutip paper “Meltdown” dikatakan bahwa komputer, secara fundamental, bekerja
dengan mengisolasi memori. Masing-masing aplikasi, bekerja pada memorinya sendiri.
Ini kemudian memungkinkan pengguna komputer menjalankan lebih dari satu aplikasi
secara bersamaan, Google Chrome dan Winamp misalnya.

Namun, selain untuk tujuan praktis tersebut, pemisahan juga dimaksudkan agar
aplikasi tak bisa membaca atau mengubah memori kernel, fondasi dari sistem
operasi.

Meltdown bekerja merusak isolasi tersebut. Sementara Spectre, bekerja dengan cara
memerintahkan suatu aplikasi memproses tindakan yang tidak perlu.

Sampai saat ini celah keamanan Meltdown dan Spectre belum dimanfaatkan penjahat
cyber. Meltdown maupun Spectre baru dimanfaatkan dalam bentuk proof-of-concept.
Namun, Charles mengatakan bahwa ini hanyalah masalah waktu saja, masalah besar
akan datang.

“Proof-of-concept sudah ada, malware-nya belum ada. Tinggal tunggu. WannaCry itu
kan sebenarnya lahir karena kerentanan yang ditemukan di dalam SMB Protocol. Nah,
ini sudah dikasih tahu ada perentanan di SMB Protocol itu, tapi Microsoft kurang cepat
dan lalu dibuat malware oleh hacker. Ini kerentanannya di hardware, lebih
fundamental,” kata Charles.

Dalam pernyataan resminya, Intel mengatakan bahwa mereka kini tengah bekerjasama
dengan perusahaan teknologi lain, termasuk dengan AMD dan ARM, untuk sesegera
mungkin menyelesaikan masalah ini. Namun, Intel meyakini kerentanan tersebut tak
berpotensi merusak, mengubah, atau sampai menghapus data.

“Intel telah meluncurkan pembaruan software dan firmware untuk memitigasi

kerentanan ini,” tulis Intel dalam pernyataan resminya.

Namun, apapun persoalan kerentanan ini telah membuat khawatir Charles dan sangat
beralasan, karena Daniel dan rekan-rekannya pun merasakan rasa khawatirnya soal
celah lebar di titik terdalam otak komputer buatan Intel ini. Ini akan menjadi hantu yang
siap datang kapan saja.

———————————————-

Catatan: Pada naskah ada tambahan penjelasan Intel.

Industroyer, Malware Mematikan Selain
Stuxnet

Industroyer merupakan malware yang menyebabkan gangguan listrik yang dialami

ibukota Ukraina pada 17 Desember 2016. Lebih dari itu, malware tersebut menyimpan
kekuatan yang jauh lebih mengerikan.

- Senin 12 Juni 2018, gabungan penelitian antara ESET, salah satu pembuat antivirus
terkemuka, dan Dragos, firma keamanan infrastruktur, mengungkapkan penyebab
serangan pada 17 Desember 2016 yang menimpa jaringan listrik Ukraina. Penelitian
menyebutkan, lumpuhnya jaringan listrik di Ukraina itu disebabkan oleh malware atau
program jahat yang sengaja dirancang untuk melumpuhkan jaringan listrik. Malware
yang menyerang jaringan listrik tersebut dinamakan “Industroyer” atau “Crash
Override”.

Para peneliti dari dua firma berbeda tersebut mengungkapkan, Industroyer alias Crash
Override, merupakan malware yang cukup istimewa. Malware itu bisa melakukan
pemadaman listrik secara otomatis dalam utilitas yang berbeda, dan digunakan pada
banyak target secara bersama-sama. Malware tersebut dapat juga digunakan ulang
untuk melakukan serangan selanjutnya.

Ukraina juga pernah mengalami kejadian serupa pada Desember 2015. Tetapi, dua
serangan yang menyasar jaringan kelistrikan tersebut, disebabkan oleh dua malware
berbeda. Jika serangan pada Desember 2016 disebabkan oleh malware bernama
Industroyer, serangan pada Desember 2015 disebabkan oleh malware yang bernama
BlackEnergy.

Antara Industroyer dan BlackEnergy, meskipun kedua malware tersebut menyasar

objek yang serupa, tetapi menurut penelitian yang dilakukan ESET dan Dragos,
keduanya disusun oleh kode pemrograman yang berbeda. Secara lebih sederhana,
Industroyer diciptakan dari nol dan bukan merupakan pengembangan dari BlackEnergy.

Robert M. Lee, pendiri Dragos, sebagaimana dikutip dari Wiredmengungkapkan,

“(Industroyer) jauh lebih terukur (dibandingkan BlackEnergy).” Diperkirakan, pada
serangan yang terjadi di Desember 2015, dibutuhkan lebih dari 20 orang peretas untuk
melakukan serangan pada tiga titik perusahaan listrik yang menjadi target. "Kini
(dengan Industroyer) 20 orang tersebut dapat menyerang 10 atau 15 lokasi dan bahkan
lebih," jelas Lee.

Industroyer, menurut ESET maupun Dragos, merupakan malware yang sangat kuat.
Berbeda dengan BlackEnergy, Industroyer bisa melakukan pengrusakan bahkan secara
otomatis tanpa bantuan peretas sekalipun. Peretas, yang melakukan serangan
menggunakan Industroyer, bisa menjalankan malware tersebut tanpa bimbingan si
peretas untuk melakukan pengrusakan. Hebatnya, Industroyer masih bisa melakukan
aksinya, bahkan jika sistem yang diserangnya, terputus dari koneksi internet. Lee
mengungkapkan bahwa cara kerja Industroyer mirip seperti cara kerja bom yang
dikendalikan memanfaatkan Timer alias alat pengatur waktu. Peretas, bisa merancang
kapan si malware melakukan aksinya, bahkan sebelum si malware tersebut menyusup
pada target. Ada atau tidak adanya koneksi internet, menjadi tidak relevan kala malware
tersebut melakukan aksinya.

Kemampuan otomatis tersebut, merupakan yang kedua yang dimiliki suatu

malware. Malware yang memiliki kemampuan demikian, menilik sejarah, kali
pertama dimiliki oleh malware bernama Stuxnet. Stuxnet jelas bukanlah malware
biasa. Stuxnet adalah malware klasik yang menjadi bencana bagi suatu negara.
Malware stuxnet, digunakan oleh Amerika Serikat dan Israel untuk menyerang
sistem pengembangan nuklir Iran pada tahun 2010 lalu.

Selain kemampuan otomatis tersebut, Industroyer juga istimewa karena kemudahannya

dimodifikasi untuk menyerang target lainnya. ESET, dalam sebuah pernyataan
sebagaimana dikutip dari Reutersmengungkapkan, malware ini bisa dapat dengan
mudah diubah maksud dan tujuan serangan pada target lainnya. Selain itu, Robert
Lipovsky, peneliti ESET menilai dampak potensial (akibat Industroyer) sangat besar.

"Ini adalah peringatan keras untuk fakta bahwa tidak ada (tujuan khusus Industroyer
digunakan) secara unik untuk (menyerang) Ukraina. Mereka (pembuat Industroyer)
membuat platform yang bisa digunakan untuk menyerang di masa depan," jelas Lee.

Departeman keamanan dalam negeri Amerika Serikat menyatakan bahwa bagian dari
malware Crash Override dapat dimodifikasi untuk menyerang sistem dan jaringan
informasi penting Amerika Serikat. Lee menambahkan bahwa malware Industroyer bisa
digunakan untuk menyerang sistem kelistrikan di seluruh Eropa hanya dengan
melakukan modifikasi sedikit pada malware tersebut.

Selain keunggulan-keunggulan di atas, ada satu hal lagi yang membuat

Industroyer layak diwaspadai setiap negara di dunia yang tidak ingin
infrastrukturnya hancur oleh sang malware. Sebagaimana ditilik dari Wired,
Industroyer alias Crash Override, bisa mengakibatkan kerusakan fisik pada objek
kelistrikan yang diserangnya. Hal tersebut bisa terjadi lantaran terdapat lubang
keamanan pada alat kelistrikan bernama Siprotec buatan Siemens. Industroyer
memiliki kemampuan untuk mengeksploitasi lubang keamanan tersebut.

Charles Lim, Chapter Lead Indonesia Honeynet Projet, organisasi nirlaba yang
melakukan riset tentang malware mengungkapkan, malware Industroyer memang
sangat berbahaya. "Konsepnya tetap sama, menyerang infrastruktur Industrial Control
System," katanya.
Sayangnya, baik ESET maupun Dragos, tidak mengetahui siapa di balik malware
tersebut. Namun, melihat bahwa malware tersebut digunakan untuk menyerang
Ukraina, negara yang sedang berkonflik dengan Rusia, kuat dugaan bahwa Rusia
merupakan pihak yang berada di balik Industroyer. Tapi, Rusia telah dengan tegas
menyangkal spekulasi tersebut.

Merunut sejarahnya, Industroyer memang merupakan malware pertama yang dibuat

untuk menyerang jaringan kelistrikan. Namun, dalam kerangka yang lebih luas,
Industroyer merupakan bagian dari malware yang melakukan serangan pada Industrial
Control System atau ICS. ICS merupakan istilah yang merujuk pada beberapa jenis
sistem kontrol yang digunakan dalam industri. Jika ICS diserang, keseluruhan proses
suatu industri akan terhenti aktivitasnya. Dalam kasus Industroyer, jika sistem
kelistrikan berhasil diserang, efek sistemik serangan tersebut akan berdampak pada
ranah-ranah lainnya. Hal tersebut bisa terjadi lantaran listrik, merupakan entitas dasar
yang menjadi fondasi hampir setiap sendi kehidupan.

Industroyer, merupakan malware keempat yang dirancang untuk menyasar ICS.

Sebelumnya, telah ada BlackEnergy, Dragonfly, dan Stuxnet.

Stuxnet, merupakan salah satu malware legendaris dalam serangan siber. Stuxnet dan
Iran merupakan kisah picisan di negeri siber. Stuxnet, berhasil terdeteksi oleh publik
pada Juni 2010. Saat itu, firma keamanan komputer asal Belarus berhasil
mengidentifikasi sebuah malware bernama Stuxnet. Nama Stuxnet diambil berdasarkan
nama file di dalam kode pemprograman aplikasi jahat tersebut.

Firma keamanan asal Belarus tersebut, berhasil mengidentifikasi si program jahat,

setelah mereka mendapatkan email dari pelanggan yang berbasis di Iran yang
mengaku bahwa mesin milik mereka terus-terusan mengalami rebooting. Belakangan
diketahui, aplikasi jahat tersebut merupakan “senjata” yang sengaja dirancang untuk
melumpuhkan sistem fasilitas nuklir Natanz di Iran.

Jon R. Lindsay dalam jurnal berjudul “Stuxnet and the Limits of Cyber Walfare”,
mengutip ahli keamanan digital mengungkapkan bahwa Stuxnet merupakan
“teknologi paling canggih pada program jahat yang dirancang untuk serangan
spesifik.” Definisi lain dari Stuxnet adalah “sebuah ketelitian, misil siber
berstandar militer.” Stuxnet bisa melakukan serangan pada komputer skala
industri buatan Siemens. Umumnya, komputer tersebut digunakan untuk
mengelola jalur pipa minyak, pembangkit listrik, dan digunakan untuk mengelola
pembangkit tenaga nuklir.

Merujuk data Statista, pada tahun 2010, sebanyak 58,31 persen infeksi malware
Stuxnet, terjadi di Iran. Indonesia, secara mengejutkan, berada di posisi 2 sebagai
negara yang terinfeksi Stuxnet terbanyak dengan 17,83 persen. Amerika Serikat,
sebagai kiblat teknologi dunia, hanya terkena 0,89 persen infeksi Stuxnet. Tak heran
memang. Amerika Serikat merupakan aktor di balik malware tersebut.

Sementara itu, malware lainnya adalah Dragonfly. Malware tersebut, dibuat oleh
kelompok dengan nama yang sama. Dragonfly merupakan program jahat yang
dirancang untuk menyasar operator jaringan enegi, pembangkit listrik, operator pipa
minyak bumi, hingga perusahaan penyedia peralatan industri. Paling tidak, ada
beberapa negara yang telah merasakan pahitnya serangan malware ini. Merujuk laman
resmi Symantec, negara-negara seperti Amerika Serikat, Spanyol, Perancis, Italia,
Jerman, Turki, hingga Polandia merupakan negara-negara yang disasar oleh malware
tersebut.

Merunut sejarahnya, Dragonfly kali pertama beroperasi pada tahun 2011. Perusahaan
pertahanan dan perusahaan penerbangan asal Amerika Serikat dan Kanada,
merupakan target pertama mereka. Selanjutnya, kelompok penjahat siber berikut
malware-nya tersebut, mengalihkan perhatian pada perusahaan energi di Amerika
Serikat dan Eropa pada tahun 2013.

Malware ketiga yang menyasar sistem ICS merupakan BlackEnergy. Merujuk

laman Security Week, BlackEnergy merupakan malware yang digunakan untuk
menyerang perusahaan media dan perusahaan listrik di Ukrainan. Kali pertama
malware BlackEnergy terdeteksi pada tahun 2007. Selain menyerang Ukraina, malware
ini pernah terdeteksi juga menyerang Amerika Serikat. iSIGHT, sebuah firma
keamanan, mengungkapkan bahwa malware BalckEnergy terkait dengan kelompok
penjahat digital bernama Sandworm Team. kelompok tersebut disebut-sebut pernah
melakukan serangan pada sistem SCADA di Amerika Serikat dan Eropa.

SCADA merupakan kepanjangan dari Supervisory Control and Data Acquisition, sebuah
sistem komputer yang mengumpulkan sekaligus menganalisis data yang kali pertama
digunakan dunia industri pada dekade 1960an. SCADA umumnya diaplikasikan untuk
melakukan pangamatan pada beragam industri.

Malware-malware tersebut, menandakan sebuah kemajuan yang sangat signifikan

dalam dunia serangan siber. Selama ini, masyarakat hanya mengenal kerusakan digital
akibat serangan siber yang dilakukan. Malware-malware tersebut, merusak jaringan
atau sistem yang sangat fundamental terhadap kehidupan manusia seperti jaringan
listrik.
Habis WannaCry, Terbitlah Petya
Ransomware jenis baru bernama Petya menyebar dan menyerang sejumlah organisasi
di Eropa hingga India. Apa bedanya Petya dengan WannaCry?

- Sekitar pukul 21.30 pada hari Selasa (27/6), komputer milik pabrik cokelat Cadbury di
Hobart berhenti bekerja. Proses produksi di pabrik pun ikut terhenti. Pabrik di Tasmania
yang memproduksi 50.000 ton cokelat per tahun itu berhenti karena terkena serangan
ransomware jenis baru bernama “Petya” atau "NotPetya".

Sebanyak 500 karyawan pabrik Cadbury di Hobart baru muncul kembali bekerja pada
Rabu (28/6). Akan tetapi, tidak jelas berapa lama waktu yang dibutuhkan untuk
memulihkan sistem komputer sehingga produksi dapat dilanjutkan kembali.

Firma Hukum DLA Piper, perusahaan perkapalan dan transportasi AP Moller-Maersk di

Denmark, dan Heritage Valley Health System—pengelola rumah sakit dan fasilitas
perawatan di Pittsburgh, mengatakan bahwa sistem mereka juga diserang.

Komputer-komputer yang terinfeksi itu menampilkan pesan yang menuntut uang

tebusan Bitcoin senilai $300. Mereka yang membayar diminta mengirim konfirmasi
pembayaran ke sebuah alamat email. Namun, alamat email tersebut telah ditutup oleh
penyedia email. Artinya, mereka yang ingin membayar uang tebusan agar datanya
kembali, tidak bisa menghubungi pelaku, dan cara itu tak akan berhasil.

Menurut Microsoft, serangan tersebut pertama kali dilaporkan di Ukraina. Kantor-kantor

pemerintahan, bank, sistem metro hingga Bandara Kiev terkena serangan. Serangan
lalu menyebar ke 65 negara lainnya, termasuk Belgia, Brasil, Jerman, Rusia, dan
Amerika Serikat.

Dibandingkan WannaCry yang menyerang 150 negara beberapa bulan lalu, Petya
tampak menyebar lebih lamban. Meski lamban, Ryan Kalember dari Proofpoint—
perusahaan keamanan internet — menyatakan Petya memiliki mekanisme penyebaran
yang lebih baik dari WannaCry.

WannaCry berhasil dihentikan karena para pakar berhasil menemukan “saklar

mematikan” virus tersebut. Sampai saat ini, pakar IT di berbagai negara sedang
mencari cara untuk menghentikan dan belum menemukan “saklar mematikan” pada
Petya.

Amit Serper dari Cybereason Boston telah mengidentifikasi sebuah metode yang pada
dasarnya bertindak sebagai vaksin untuk komputer yang terinfeksi oleh malware.
Metodenya meniru alat peraga dengan berpikir bahwa itu sudah beroperasi pada
mesin. Server dipuji secara luas karena inovasi tersebut, tetapi dia mengatakan bahwa
perbaikannya hanyalah solusi sementara.
WannaCry didasarkan pada eksploitasi yang dicuri dari Badan Keamanan Nasional,
termasuk sebuah program bernama EternalBlue, yang memanfaatkan kerentanan
Microsoft. Dengan menggunakan beberapa eksploitasi yang sama, Petya memiliki
kemampuan melakukan penjalaran melalui jaringan komputer, mengumpulkan kata
sandi dan kepercayaan serta menyebarkan dirinya.

Malware menggunakan reboot untuk mengenkripsi data. Pada saat itu, pengguna
melihat pesan "CHKDSK" hitam-putih palsu di layar mereka yang mengklaim ada
kesalahan dan sistem memeriksa integritas disk. Menurut pakar keamanan, itu adalah
kesempatan terakhir bagi pengguna untuk mematikan komputer mereka dan melindungi
data mereka sebelum dienkripsi dan ditahan untuk mendapatkan uang tebusan.

Petya di Indonesia

Di Indonesia, belum ada laporan korban serangan ransomware jenis baru ini. Besar
kemungkinan karena sebagian aktivitas pekerjaan di Indonesia masih liburan. Meski
begitu, Menteri Komunikasi dan Informatika telah gencar menyebarkan berbagai
peringatan untuk pencegahan.

“Back up data sekarang!” demikian seruan salah satu peringatan resmi dari Kominfo
yang viral di media sosial. Untuk mengantisipasi ransomeware Petya, pengelola TI di
setiap lembaga diminta untuk menonaktifkan atau mencabut jaringan lokal/LAN
sementara, sampai dipastikan semuanya aman. Kominfo juga menyarankan untuk
segera menyimpan data ke tempat penyimpanan yang terpisah.

Selain dua hal tersebut, penggunaan sistem operasi orisinal yang diperbaharui secara
berkala juga penting untung menangkal serangan malware tersebut. Kominfo pun
menyarankan untuk menggunakan kata sandi yang kuat dan rutin diperbaharui.

CBN, salah satu penyedia layanan internet di Indonesia memaparkan beberapa cara
mencegah Ransomware Petya agar tidak menginfeksi komputer lainnya. “Karena
ransomware Petya akan mencari file perfc di direktori C:\Windows dan tidak akan
melanjutkan proses enkripsi jika file tersebut sudah ada, untuk itu buatlah file tersebut
dan set permission-nya menjadi read-only,” jelas CBN dalam pernyataan resminya.

Beberapa versi Windows 7, 8 atau 10 mungkin memerlukan level admin untuk membuat
file di dalam direktori C:\Windows. Bagi admin yang harus melakukan vaksinasi banyak
komputer atau server sekaligus sebaiknya menggunakan script atau
menggunakan desktop central untuk men-deploy-nya.

Pihak CBN menekankan, langkah pencegahan tersebut hanyalah untuk memvaksinasi

komputer agar tidak mudah terenkripsi. Meski langkah itu sudah dilakukan, CBN tetap
menyarankan untuk melakukan patchdan memperbarui Windows dan antivirus secara
berkala. “Bagi yang sudah pernah menangani WannaCry dengan melakukan blok pada
NetBios seharusnya juga sudah aman,” imbuhnya.

Korut Diduga Dalangi Serangan Siber

WannaCry lewat Lazarus
Para peneliti Symantec mengaku telah menemukan berbagai sandi yang digunakan
baik pada aktivitas kelompok terkait Korea Utara itu sebelumnya maupun dengan versi
terbaru WannaCry.

- Lazarus, sebuah kelompok peretas yang berafiliasi dengan Korea Utara,

kemungkinan besar berada di balik serangan siber WannaCry yang menginfeksi sekitar
300.00 komputer di seluruh dunia serta mengganggu layanan di berbagai rumah sakit,
bank, dan sekolah di seluruh dunia, dua pekan lalu. Dugaan ini dikemukakan
perusahaan keamanan siber Symantec Corp.

Untuk menindaklanjuti serangan ini, para peneliti Symantec mengaku telah menemukan
berbagai sandi yang digunakan baik pada aktivitas kelompok terkait Korea Utara itu
sebelumnya maupun dengan versi terbaru WannaCry.

Lebih dari itu, Symantec juga mendapati koneksi Internet yang sama telah digunakan
untuk menginstal versi awal WannaCry dalam dua komputer dan untuk berkomunikasi
dengan sebuah tool yang menghancurkan file-file Sony Pictures Entertainment.

Perlu diketahui, pemerintah dan perusahaan-perusahaan swasta AS sempat menuding

Korea Utara sebagai dalang dalam serangan siber yang menyasar Sonny pada 2014.

Korea Utara berulang kali membantah peran semacam itu. Pada Senin (22/5/2017)
waktu setempat, negara itu menyebut tuduhan pihaknya berada di balik serangan
WannaCry sebagai kampanye kotor, demikian yang dikutip dari Antara.

Lazarus adalah nama yang sering disebut banyak perusahaan keamanan siber sebagai
pihak yang berada di balik serangan Sony dan serangan siber lainnya.

Dalam hal ini, Symantec memang tidak secara langsung menyebut nama sebuah
pemerintahan ada di balik serangan siber. Namun, para peneliti tidak membantah
keyakinan awam bahwa Lazarus bekerja untuk Korea Utara.

Lewat sebuah posting blog, Symantec mendaftarkan sejumlah tautan antara Lazarus
dan software yang ditinggalkan kelompok peretas itu setelah peluncuran versi pertama
malware yang tidak begitu ganas, Februari lalu.

Salah satu varian dari software itu digunakan untuk menghapus disk ketika serangan
menimpa Sony Pictures, sedangkan tool lainnya digunakan untuk alamat internet yang
sama ketika dua bagian malware lainnya menaut ke Lazarus.