Hamas Menggunakan Backdoor Sys Joker untuk Menargetkan Israel.

News Security Article

Pada bulan Oktober 2023 yang baru lalu muncul adanya serangan siber yang dilakukan oleh kelompok yang terkait dengan Hamas menargetkan Israel. Serangan ini dilakukan dengan menggunakan backdoor SysJoker yang didukung oleh Rust . Backdoor SysJoker ini memungkinkan penyerang untuk mengambil alih sistem target dan mengumpulkan informasi sensitif . Serangan ini dilakukan sebagai bagian dari konflik antara Israel dan Hamas, di mana serangan siber menjadi salah satu bentuk serangan yang digunakan .

Serangan siber yang dilakukan oleh kelompok yang terkait dengan Hamas ini menunjukkan bahwa serangan siber dapat menjadi ancaman yang signifikan dalam konflik modern. Serangan siber dapat digunakan untuk mengambil alih sistem target dan mengumpulkan informasi sensitif, yang dapat digunakan untuk keuntungan militer atau politik . Serangan siber juga dapat digunakan untuk mengganggu infrastruktur kritis, seperti sistem listrik dan air, yang dapat menyebabkan kerusakan yang signifikan .

Backdoor SysJoker adalah sebuah backdoor multi-platform yang menargetkan sistem operasi Windows, Mac, dan Linux. Backdoor ini memungkinkan penyerang untuk mengambil alih sistem target dan mengumpulkan informasi sensitif . 

Backdoor SysJoker pertama kali ditemukan selama serangan aktif pada server web berbasis Linux di sebuah institusi pendidikan terkemuka. Backdoor ini menyamar sebagai pembaruan sistem dan menghasilkan Command and Control (C2) dengan mendekode string yang diambil dari file teks yang di-hosting di Google Drive . Backdoor SysJoker juga telah digunakan oleh kelompok yang terkait dengan Hamas dalam serangan siber terhadap Israel pada bulan Oktober 2023.

Beberapa backdoor lain yang serupa dengan SysJoker misalnya adalah : 

  1. Vermilion Strike: Backdoor multi-platform yang menargetkan Windows, Linux, dan macOS .
  2. RedXOR: Backdoor multi-platform yang menargetkan Windows, Linux, dan macOS .
  3. Kessel: Backdoor multi-platform yang menargetkan Windows, Linux, dan macOS .

Multi-platform adalah istilah yang digunakan untuk menggambarkan kemampuan suatu perangkat lunak untuk berjalan pada dua atau lebih platform perangkat keras yang berbeda. Misalnya, perangkat lunak yang tersedia untuk lingkungan desktop Windows dan Mac adalah multi-platform, begitu juga dengan perangkat lunak yang tersedia untuk perangkat seluler iOS dan Android.

Malware yang menargetkan beberapa sistem operasi telah menjadi hal yang tidak jarang dalam ancaman malware. Vermilion Strike, yang didokumentasikan baru pada September lalu, adalah salah satu contoh terbaru hingga saat ini.

Nah secara teknis berikut ini adalah uraian yang dapat saya temukan mengenai SysJoker, ditemukan ysJoker juga memiliki versi Mach-O dan Windows PE hal itu berdasarkan pendaftaran domain Command and Control (C2) dan sampel yang ditemukan di VirusTotal, sehingga diperkirakan serangan SysJoker dimulai pada paruh kedua tahun 2017. 

Berdasarkan viktimologi dan perilaku malware, para peneliti menilai SysJoker mengejar target tertentu.  SysJoker diunggah ke VirusTotal dengan akhiran .ts yang digunakan untuk file TypeScript. Vektor serangan yang mungkin untuk malware ini adalah melalui paket npm yang terinfeksi.  Malware ini ditulis dalam C++ dan setiap sampel disesuaikan untuk sistem operasi tertentu yang ditargetkan. Baik sampel macOS maupun Linux sepenuhnya tidak terdeteksi di VirusTotal. Misalnya saja dropper e06e06752509f9cd8bc85aa1aa24dba2 di VirusTotal menargetkan prosesor Mac M1. Sementara untuk Windows berisi dropper tahap pertama. Dropper ( d71e1a6ee83221f1ac7ed870bc272f01) adalah DLL yang diunggah ke VirusTotal sebagai style-loader.ts dan hanya memiliki 6 deteksi.

Sehingga analisa saya jika kemudian Hamas menggunakan malware ini kemungkinan mereka sudah mengindentifikasi jenis jenis perangkat yang digunakan oleh militer Israel karena sekali lagi backdoor ini memiliki kemampuan untuk mengejar target tertentu yang berjalan di multi platform OS.