Catatan Redaksi: Grup peretas Shadow Brokers membocorkan serta melepas ransomware virus WannaCry. Lebih 100 negara, termasuk Indonesia, jadi korban. Siapakah kelompok ini? Bagaimana sepak terjang para peretas di dunia? Jahatkah semua mereka? Warta Pilihan mencoba mengulasnya dalam beberapa seri melalui tulisan kontributor tamu Ahmad Husein.
Sabtu subuh, 13 Mei 2017 pekan lalu, seharusnya jadi akhir pekan normal-normal saja bagi Rumah Sakit Kanker Dharmais. Sehari-harinya, rumah sakit di bilangan Slipi itu tetap sibuk melayani pasien. Akan tetapi, sekitar pukul 5 pagi, seorang petugas medis menemukan hal aneh di jaringan komputer rumah sakit. Ketika ia memasukkan data, menu tiba-tiba berubah. Keanehan ini ia laporkan ke bagian sistem informasi rumah sakit.
Sebagai antisipasi, bagian sistem informasi rumah sakit menyetop koneksi jaringan. Hingga kini, pihak Rumah Sakit Dharmais masih kerja keras memulihkan jaringan komputer mereka dari virus, yang belakangan diketahui sebagai virus WannaCry. Tak tanggung-tanggung, lebih 600 komputer di rumah sakit itu harus diperiksa satu-persatu demi mencegahnya terinfeksi virus. Sistemnya pun terpaksa di-instal ulang, termasuk merekam ulang sistem keamanan dan antivirusnya.
Indonesia cuma satu dari sekitar 100 negara di dunia yang dihajar virus ini. Menakutkan juga, mengingat virus WannaCry sesungguhnya tercipta dari perangkat (tool) bernama Eternal Blue, senjata siber milik dinas intel Amerika Serikat, NSA (National Security Agency), yang dicuri dan dibocorkan grup peretas (hacker) berjuluk Shadow Brokers (TSB), April lalu.
Virus Alat Peras
Tak banyak yang tahu bahwa sebelum virus ini disebarkan oleh TSB, sebenarnya NSA sudah sering memakai Eternal Blue untuk mengendalikan komputer sasaran dari jarak jauh. Spektrum sasarannya adalah komputer dengan sistem operasi Windows milik Microsoft, mulai dari Windows XP hingga Windows Server 2012.
Konon di dunia sudah ada laporan tentang 16 rumah sakit yang tergabung dalam jaringan National Health Service yang menjadi korban WannaCry. Total ada lebih dari 75.000 kasus infeksi WannCry di sekitar 100 negara, termasuk Indonesia.
Kalau cuma virus yang mengobok-obok jaringan komputer, mungkin ceritanya tak seheboh ini. Apalagi, lazim kita dengar situs daring dan jaringan komputer dijebol para peretas. Biasanya tak lama kemudian, dengan sedikit tambal sana-sini dan memperkuat keamanannya, situs daring kembali normal. Jaringan komputer pulih dan dapat dipergunakan seperti sedia kala.
Berbeda dengan WannaCry. Ia dikenal juga sebagai Wanna Decryptor, program ransomware –gabungan dari kata ransom (tebusan) dan malware/malicious software atau perangkat lunak jahat—khas yang mampu menelikung seluruh data pada sistem komputer. Gilanya, korban serangan hanya disisakan dua file. Pertama file tentang instruksi yang harus korban lakukan, yakni membayar tebusan melalui mata Bitcoin, mata uang dunia maya. File kedua adalah program Wanna Decryptor itu sendiri.
Anak Baru yang Galak
The Shadow Brokers (TSB) sendiri merupakan kelompok hacker (peretas) yang muncul pertama kali di musim panas tahun 2016. Mereka mempublikasikan beberapa bocoran tentang perangkat meretas milik NSA, termasuk bocoran beberapa zero-day exploit. Ini istilah untuk kerentanan perangkat lunak yang dirahasiakan dari publik yang para peretas bisa mengeksploitasinya secara jahat untuk mempengaruhi program komputer, data, maupun jaringan. Biasanya, yang disasar adalah perusahaan-perusahaan firewalls, produsen antivirus, dan produk-produk Microsoft. TSB awalnya mengatribusikan kebocoran yang terjadi kepada Equation Group, kelompok yang terikat pada unit Tailored Access Operation milik NSA di Amerika Serikat.
Nama kelompok ini – yang secara harfiah berarti (pedagang) perantara bayangan– konon diambil dari sebuah nama karakter dari seri video game Mass Effect. Karakter Shadow Broker adalah seorang pimpinan organisasi yang ekspansif yang memperdagangkan informasi. Ia selalu menjual informasi kepada mereka yang membeli dengan harga paling tinggi. Dan karakter itulah yang memang dipakai kelompok TSB dalam aksinya sehari-hari. Mereka menjual informasi rahasia kepada kliennya, memaksa klien mengikuti mekanisme jual-beli informasi yang TSB inginkan, karena jika tidak TSB akan menjualnya ke pihak lain. Termasuk, informasi cara memulihkan jaringan komputer yang diserang oleh virus sebaran TSB.
Yang menarik adalah mengupas siapa mereka sebenarnya. Sebuah spekulasi menyebutkan, kelompok ini adalah ‘orang dalam’ atau bekas pegawai NSA, atau peniup pluit (whistleblower) atas sepak terjang NSA yang dikenal hobi memata-matai setiap orang. Namun ada pula yang mengaitkan kelompok ini dengan negara Rusia di belakangnya. Semua tahu, Rusia adalah musuh bebuyutan Amerika Serikat.
Lelang, Crowdfunding, hingga jualan langsung
Aksi peretasan pertama TSB dilakukan sekitar Agustus 2016 dengan mengumumkan undangan via akun Twitter mereka, @shadowbrokerss, tentang apa yang disebut dengan halaman Pastebin dan gudang GitHub. Halaman dan hub ini berisi berbagai referensi dan instruksi untuk memperoleh dan mendekripsi konten file yang diduga mengandung tool dan exploit yang digunakan Equation Group (milik NSA). TSB melelang informasi ini kepada pihak yang berminat membeli dengan harga tertinggi. Tidak diketahui, siapa saja yang berminat dan menghubungi TSB untuk membeli informasi rahasia tersebut.
Peretasan kedua dilakukan akhir Oktober 2016, ketika mereka mengumumkan daftar server yang ‘dikerjai’ oleh Equation Group, berikut beberapa rujukan terhadap sedikitnya tujuh tool rahasia yang biasa digunakan oleh para pelaku ancaman (threat actor) termasuk Equation Group.
Karena kelihatannya orang-orang tidak menyukai model lelang maupun crowdfunding (sumbangan publik), TSB mencoba cara baru, yakni jualan langsung (direct sales). Mereka membuka halaman ListOfWarez. Siapa yang berminat membeli informasi rahasia dapat meng-email TSB, yang kemudian akan mengirimkan alamat Bitcoin agar si peminat membayar terlebih dahulu. Jika sudah dibayar, maka TSB mengirimkan tautan berikut password dekripsi, dan peminat tinggal mengunduhnya. Jika kurang sreg juga dengan cara ini, peminat bisa langsung menghubungi TSB di pasar gelap dan bertransaksi dengan menggunakan akun penampung sementara (escrow).
Demikian seterusnya, TSB meretas data dan informasi jaringan berbagai pihak, lalu mengumumkannya kepada khalayak dan menawarkan siapa yang tertarik membelinya. Hingga sampai tahun ini, ketika TSB melakukan cara baru, yakni menembus jaringan komputer milik target, melepas virus mematikan, lalu memeras (blackmail) korban untuk setor uang maya/bitcoin agar jaringannya dapat dipulihkan.
Kejam? Ya sudah pasti. Mereka adalah bandit dunia siber. Tujuan TSB simpel dan jelas: kami retas, kami ancam, dan anda harus bayar. Selain itu, tampaknya aksinya tidak akan berhenti sampai di sini. Ingat, kelompok peretas bukan cuma TSB. Menurut situs komputer dan teknologi TurboFuture.com, saat ini saja setidaknya ada 10 kelompok peretas yang sangat aktif beraksi di dunia, mulai dari Bureau 121 yang sangat misterius dari Korea Utara, Morfo alias Wild Neutron, Syrian Electronic Army, hingga sang legenda: Anonymous.
Untungnya, tidak semua mereka 100 persen jahat. Ada peretas topi putih (white hat hackers) yang jasanya justru besar dalam sejarah pengembangan keamanan jaringan komputer dan internet. (ahmad husein)