16 Penjahat Siber Pembobol Rekening Ditangkap

Jakarta – Departemen Kehakiman Amerika Serikat (DOJ) merilis tuduhan pidana terhadap 16 pelaku kejahatan siber terkait operasi malware ‘DanaBot’, yang dilaporkan telah menyerang 300.000 perangkat di seluruh dunia.

DOJ mengungkap bahwa kelompok kriminal yang ditangkap dan diadili berasal dari Rusia, yang dikenal memiliki salah satu jaringan hacker terbesar dan terkuat di dunia.

Operasi peretasan asal Rusia ini mengaburkan perbedaan antara kejahatan siber, perang siber yang didukung pemerintah, dan kampanye mata-mata.

Dakwaan terhadap beberapa warga Rusia dan penumpasan botnet mereka yang meluas menunjukkan bagaimana satu operasi malware dapat memicu serangan lain seperti ransomware, serangan siber saat perang di Ukraina, dan pengintaian terhadap pemerintah asing.

DOJ menyebutkan 2 dari 16 tersangka yang dijatuhi hukuman, yaitu Aleksandr Stepanov dan Artem Aleksandrovich Kalinkin, yang berbasis di Novosibirsk, Rusia.

Selain tuduhan penyebaran malware, DOJ juga melaporkan bahwa Dinas Investigasi Kriminal Pertahanan (DCIS) telah menyita infrastruktur DanaBot di berbagai negara, termasuk Amerika Serikat.

DanaBot digunakan dalam peretasan kriminal untuk keuntungan finansial. Selain itu, dalam dakwaan disebutkan varian kedua dari malware tersebut digunakan dalam kampanye mata-mata yang menargetkan militer, pemerintah, dan LSM.

“Malware seperti DanaBot merugikan ratusan ribu korban di seluruh dunia, termasuk entitas militer, diplomatik, dan pemerintah yang sensitif, menyebabkan kerugian jutaan dolar,” kata jaksa AS Bill Essayli dalam sebuah pernyataan.

Beroperasi Sejak 2018

Sejak 2018, DanaBot telah menginfeksi jutaan komputer di seluruh dunia. Awalnya merupakan trojan perbankan yang dirancang untuk mencuri langsung dari pemilik PC dengan fitur modular untuk pencurian kartu kredit dan mata uang kripto.

Pembuatnya diduga menjual DanaBot dengan model “afiliasi” yang membuat alat tersebut tersedia bagi kelompok peretas lain dengan biaya US$3.000 hingga US$4.000 per bulan. Dengan demikian, DanaBot juga berfungsi sebagai alat untuk memasang berbagai malware dalam operasi yang berbeda, termasuk ransomware.

Targetnya dengan cepat meluas dari korban awal di Ukraina, Polandia, Italia, Jerman, Austria, dan Australia, hingga lembaga keuangan di AS dan Kanada, menurut analisis dari firma keamanan siber Crowdstrike.

Pada 2021, menurut Crowdstrike, DanaBot digunakan dalam serangan rantai pasokan perangkat lunak yang menyembunyikan malware dalam alat pengkodean javascript bernama NPM, yang memiliki jutaan unduhan setiap minggu. Crowdstrike menemukan korban dari alat yang disusupi di seluruh industri layanan keuangan, transportasi, teknologi, dan media.

Skala besar dan beragamnya penggunaan kriminal DanaBot menjadikannya sebagai raksasa dalam lanskap kejahatan elektronik, menurut Selena Larson, peneliti ancaman di firma keamanan siber Proofpoint.

Yang lebih mencolok, DanaBot juga pernah digunakan untuk melakukan peretasan yang tampaknya disponsori negara atau terkait dengan kepentingan lembaga pemerintah Rusia.

Pada 2019 dan 2020, DanaBot digunakan untuk menargetkan sejumlah pejabat pemerintah Barat dalam operasi mata-mata, menurut dakwaan DOJ. Menurut Proofpoint, malware tersebut dikirim melalui pesan phishing yang menyamar sebagai Organisasi Keamanan dan Kerja Sama di Eropa dan entitas pemerintah Kazakhstan.

Pada minggu-minggu awal invasi besar-besaran Rusia ke Ukraina yang dimulai pada Februari 2022, DanaBot digunakan untuk memasang alat penolakan layanan terdistribusi (DDoS) ke mesin yang terinfeksi dan meluncurkan serangan terhadap server webmail Kementerian Pertahanan Ukraina dan Dewan Pertahanan dan Keamanan Nasional Ukraina.

Semua ini menjadikan DanaBot contoh yang jelas bagaimana malware diduga diadopsi oleh peretas Rusia, kata Larson dari Proofpoint.

“Secara historis, ada banyak dugaan tentang operator kejahatan siber yang bekerja sama dengan badan pemerintah Rusia, tetapi belum banyak laporan publik mengenai garis yang semakin kabur ini,” kata Larson.

Dalam pengaduan pidana tersebut, penyidik DCIS Elliott Peterson menuduh bahwa beberapa anggota operasi DanaBot teridentifikasi setelah mereka menginfeksi komputer mereka sendiri dengan malware tersebut.

Menurut Peterson, infeksi tersebut mungkin dilakukan untuk menguji trojan, atau mungkin tidak disengaja. Apa pun itu, infeksi tersebut menghasilkan informasi pengenal tentang dugaan peretas yang berakhir di infrastruktur DanaBot, yang kemudian disita DCIS.

“Infeksi yang tidak disengaja sering kali mengakibatkan data sensitif dan berharga dicuri dari komputer pelaku oleh malware dan disimpan di server DanaBot, termasuk data yang membantu mengidentifikasi anggota organisasi DanaBot,” tulis Peterson.

Sementara operator DanaBot masih bebas, penumpasan alat berskala besar, baik yang disponsori negara maupun kriminal, merupakan tonggak penting, kata Adam Meyers, yang memimpin penelitian intelijen ancaman di Crowdstrike.

“Setiap kali operasi kejahatan siber terganggu, kita bisa mempengaruhi kemampuan mereka untuk memonetisasinya. Hal ini juga menciptakan sedikit kekosongan, dan orang lain akan maju dan mengambil alih posisi itu,” kata Meyers.