Hacker Korea Utara Berhasil Bobol Gmail Meski Sudah Autentikasi 2 Faktor
PerbesarADVERTISEMENT
Lembaga keamanan siber Volexity baru-baru ini menemukan serangan Gmail yang dipelopori oleh kelompok hacker Korea Utara yang mampu mengakses kredensial Gmail meskipun pengguna telah mengaktifkan autentikasi 2 faktor.
ADVERTISEMENT
Autentikasi dua faktor adalah lapisan keamanan tambahan di mana pengguna menambah login di samping username dan kata sandi, misal nomor HP.
Menurut laporan Volexisty, kelompok Korea Utara yang bertanggung jawab adalah grup hacker bernama ‘Sharp-Tongue’, yang berkaitan dengan grup hacker Korea Utara lain bernama Kimsuky. Mereka melepas malware bernama Sharpnext yang membobol akun Gmail seseorang meskipun sudah dilindungi autentikasi 2 faktor.
Badan Keamanan Cybersecurity & Infrastruktur AS (CISA) melaporkan bahwa Kimsuky sudah aktif sejak 2012 dan sangat mungkin diberi tugas oleh rezim Korea Utara untuk misi intelijen global.
Malware ini secara langsung menginspeksi dan menyusup data akun Gmail ketika pengguna sedang membukanya di browser. Hal yang paling mengejutkan menurut Volexity adalah, malware ini sudah di versi ketiganya dan dapat mencuri data dari Gmail dan akun AOL (platform email lain) dari browser Google Chrome, Microsoft Edge, dan Naver Whale—browser dari Korea Selatan. Malware juga secara aktif menargetkan pengguna di Amerika Serikat, Korea Selatan dan Eropa.
ADVERTISEMENT
Malware Sharptext tidak mencoba mengambil alih kredensial Gmail pengguna. Melainkan mengabaikan atau melangkahi bagian ini dan mengoleksi data yang pengguna asli sedang buka di browser.
Kabar baiknya, malware ini baru bisa bekerja jika sistem sudah terinfeksi atau disusupi sebelumnya. Masalahnya adalah, tidak sulit bagi malware tersebut untuk menginfeksi. Mulai dari phising, malware, hingga celah di update browser yang bisa dieksploitasi, dapat membuat malware ini masuk.
Ketika sistem terinfeksi, malware akan menginstal ekstensi baru menggunakan VBScript yang mengganti file preferensi sistem. Setelah terinstal, ekstensi ini akan berjalan dengan sendirinya dan sulit untuk dideteksi.
Tidak ada peringatan dari Google bahwa ada upaya login mencurigakan. Sistem menganggap hacker yang membaca email adalah si pengguna asli.
ADVERTISEMENT
Volexity merekomendasikan pengguna mengaktifkan dan menganalisis logging PowerShell ScriptBlock karena PowerShell memainkan peran kunci dalam pengaturan dan pemasangan malware.
Pengguna juga direkomendasikan untuk sering mengecek ekstensi browser, dan mencurigai jika ada ekstensi yang tak dikenal atau tidak tersedia di Chrome Web Store.
Juru bicara Google mengatakan kepada Forbes bahwa mereka “mengkonfirmasi ekstensi dengan kode malware tidak ada di Chrome Web Store.”