JAKARTA, iNews.id - Para peneliti menemukan hacker China telah menggunakan VLC Media Player untuk melancarkan serangan keamanan siber. Kelompok hack, yang diduga berafiliasi dengan pemerintah China, menggunakan pemutar video populer untuk menyebarkan malware ke komputer yang ditargetkan.
Aktivitas ini telah ditelusuri ke grup peretas bernama Cicada, yang juga dikenal dengan daftar panjang nama lain, seperti menuPass, Stone Panda, APT10, Potassium, dan Red Apollo.
Cicada telah ada sejak lama, setidaknya sejak 2006. Malware yang disebarkan ke korban serangan membuka pintu bagi peretas untuk mendapatkan semua jenis informasi. Itu dapat memberikan pengetahuan tentang segala hal tentang sistem, menjelajahi proses yang berjalan, dan mengunduh file berdasarkan perintah, hanya memperluas potensi penyalahgunaan.
Serangan siluman seperti itu tidak jarang terjadi, tetapi yang satu ini tampaknya telah terjadi dalam skala besar. Kampanye ini, yang melibatkan VLC Media Player yang populer, tampaknya telah dimulai untuk tujuan spionase.
Menurut sebuah laporan oleh Bleeping Computer, target tersebut melibatkan berbagai entitas yang terlibat dalam kegiatan hukum, pemerintahan, atau keagamaan. Organisasi non-pemerintah juga menjadi sasaran. Hal yang mengejutkan adalah aktivitas ini telah menyebar ke entitas di setidaknya tiga benua.
Beberapa negara yang menjadi target antara lain AS, Hong Kong, India, Italia, dan Kanada. Anehnya, hanya satu korban yang berasal dari Jepang. Grup Cicada sebelumnya telah berkali-kali menargetkan Jepang untuk serangan siber di masa lalu. Setelah penyerang mendapatkan akses ke mesin korban, mereka dapat mempertahankannya hingga sembilan bulan.
Meskipun VLC dieksploitasi untuk menyebarkan malware, file itu sendiri bersih. Tampaknya versi aman VLC digabungkan dengan file DLL berbahaya yang terletak di tempat sebagai fungsi ekspor pemutar media. Ini disebut sebagai pemuatan samping DLL, dan Cicada tidak sendirian dalam menggunakan teknik ini untuk mengunggah malware ke dalam program yang dinyatakan aman, sebagaimana dikutip dari Digital Trends.
Custom loader yang digunakan oleh Cicada ternyata sudah terlihat pada serangan sebelumnya yang juga terhubung dengan tim hacker. Untuk mendapatkan akses pertama ke jaringan yang dilanggar, server Microsoft Exchange dieksploitasi. Selain itu, server WinVNC dikerahkan sebagai sarana untuk membangun kendali jarak jauh atas sistem yang terpengaruh oleh malware tersembunyi.