Pemilik Hermetica dari Siprus Tak Tahu Servernya Dipakai dalam Serangan Malware Berbahaya ke Ukraina

JAKARTA -  Seorang desainer video game berusia 24 tahun yang menjalankan bisnis kecilnya dari sebuah rumah di sebelah gereja tua Siprus di pinggiran kota Nicosia kini terjerat dalam krisis global setelah invasi Rusia ke Ukraina.

Perusahaan milik Polis Trachonitis, Hermetica Digital Ltd, disebut telah terlibat oleh para peneliti AS dalam serangan siber penghancuran data yang menghantam ratusan komputer di Ukraina, Lituania, dan Latvia.

Tanda tangan digital Hermetica, ditemukan dalam jejak serangan digital pada Rabu malam, 23 Februari. Ini  hanya beberapa jam sebelum pasukan Rusia masuk ke Ukraina, dan serangan siber itu secara luas dilihat sebagai serangan pembuka invasi Moskow.

Malware tersebut telah ditandatangani menggunakan sertifikat digital dengan nama Hermetica Digital di atasnya, menurut para peneliti. Beberapa di antaranya mulai menyebut kode berbahaya "HermeticWiper".

Trachonitis, pendiri Hermetica, mengatakan kepada Reuters bahwa dia tidak ada hubungannya dengan serangan itu. Dia mengatakan dia tidak pernah meminta sertifikat digital dan tidak tahu bahwa sertifikat telah dikeluarkan untuk perusahaannya.

Dia mengatakan perannya dalam industri video game hanya untuk menulis teks untuk gim yang disatukan oleh orang lain.

The Wiper binary is signed using a code signing certificate issued to Hermetica Digital Ltd 3/n pic.twitter.com/sGCl3Lbqc1

— ESET research (@ESETresearch) February 23, 2022

"Saya bahkan tidak menulis kode - saya menulis cerita," katanya. Ia juga menambahkan bahwa dia tidak mengetahui hubungan antara perusahaannya dan invasi Rusia sampai dia diberitahu oleh seorang reporter Reuters pada Kamis pagi, 24 Februari. "Saya hanya seorang pria Siprus ... saya tidak memiliki hubungan dengan Rusia," ujarnya.

Tingkat kerusakan yang disebabkan oleh serangan malware Hermetica itu tidak jelas, tetapi perusahaan keamanan siber ESET mengatakan kode berbahaya telah ditemukan terinstal di "ratusan mesin".

Para pemimpin Barat telah memperingatkan selama berbulan-bulan bahwa Rusia dapat melakukan serangan siber yang merusak terhadap Ukraina sebelum invasi.

Pekan lalu, Inggris dan Amerika Serikat mengatakan peretas militer Rusia berada di balik serentetan serangan penolakan layanan (DDoS) yang secara singkat membuat situs perbankan dan pemerintah Ukraina offline.

Mata-mata dunia maya secara rutin mencuri identitas orang asing secara acak untuk menyewa ruang server, atau mendaftarkan situs web jahat.

Sertifikat Hermetica Digital dikeluarkan pada April 2021, tetapi stempel waktu pada kode berbahaya itu sendiri adalah 28 Desember 2021.

Peneliti ESET mengatakan dalam sebuah posting blog bahwa tanggal-tanggal tersebut menunjukkan bahwa "serangan itu mungkin telah dilakukan untuk beberapa waktu."

Jika,  serangan dilakukan oleh Rusia, maka tanda waktu berpotensi menjadi titik data yang signifikan bagi pengamat yang berharap untuk memahami kapan rencana invasi ke Ukraina datang bersamaan.

Kepala penelitian ancaman ESET, Jean-Ian Boutin, mengatakan kepada Reuters bahwa ada berbagai cara di mana aktor jahat dapat dengan curang mendapatkan sertifikat penandatanganan kode.

"Mereka jelas bisa mendapatkannya sendiri, tetapi mereka juga bisa membelinya di pasar gelap," kata Boutin. "Dengan demikian, ada kemungkinan bahwa operasi itu berlangsung lebih jauh dari yang kita ketahui sebelumnya, tetapi mungkin juga aktor ancaman memperoleh sertifikat penandatanganan kode ini baru-baru ini, hanya untuk kampanye ini."

Ben Read, direktur analisis spionase dunia maya di Mandiant, mengatakan ada kemungkinan bahwa suatu kelompok dapat "meniru perusahaan dalam komunikasi dengan perusahaan penyedia sertifikat digital dan mendapatkan sertifikat sah yang dikeluarkan secara curang kepada mereka."

Perusahaan keamanan siber Symantec mengatakan organisasi di sektor keuangan, pertahanan, penerbangan, dan layanan TI menjadi sasaran serangan pada Rabu, 23 Februari. DigiCert, perusahaan yang mengeluarkan sertifikat digital, tidak segera menanggapi permintaan komentar.

Juan-Andres Guerrero-Saade, seorang peneliti keamanan siber di perusahaan keamanan digital SentinelOne, mengatakan tujuan serangan itu sangat jelas.  "Ini dimaksudkan untuk merusak, melumpuhkan, memberi sinyal, dan menyebabkan kekacauan," kata Guerrero-Saade.