Para peneliti melihat dari indikasi teknis bahwa serangan siber yang menyerang Rusia dan sejumlah negara minggu ini dilakukan oleh peretas yang sama ketika menyerang Ukrania pada bulan Juni.
Perusahaan keamanan siber asal Rusia Group-IB mengatakan virus BadRabbit yang digunakan pada serangan minggu ini memiliki kode yang hampir sama dengan NotPetya malware yang melumpuhkan Ukrania dan sejumlah negara pada awal tahun ini. Bisa jadi kelompok yang sama bertanggung jawab atas serangan tersebut.
Virus BadRabbit menyerang Russia, Ukrania, dan beberapa negara lainnya pada hari Selasa. Serangan tersebut mengakibatkan kantor berita Rusia Interfax lumpuh dan membuat tertundanya sejumlah penerbangan di Odessa airport, Ukrania.
Sejumlah peneliti keamanan siber telah melihat adanya keterkaitan pada kedua serangan, baik itu kesamaan dari coding malware dan cara peretasan, namun tidak atribusi langsung.
Walaupun demikian para ahli tetap waspada karena menghubungkan serangan siber cukup sulit. Biasanya peretas akan menggunakan teknik untuk menutupi aksi mereka dan terkadang sengaja mengelabui para penyidik mengenai identitas mereka.
Peneliti keamanan di Cisco Talos mengatakan BadRabbit memiliki kesamaan dengan NotPetya, keduanya berasal dari malware yang sama. Namun, sebagian besar kodenya telah ditulis ulang dan penyebaran virus baru lebih sederhana.
Mereka juga mengkonfirmasikan bahwa BadRabbit telah menggunakan alat peretas bernama Enternal Romanca, yang diyakini dikembangkan oleh Badan Keamanan Nasional Amerika (NSA) sebelum dicuri dan bocor secara online di bulan April.
NotPetya juga menggunakan Eternal Romance dan alat peretas lain buatan NSA bernama Eternal Blue. Tetapi Talos mengatakan mereka digunakan dengan cara yang berbeda dan tidak ada bukti kalau BadRabbit menggunakan Eternal Blue.
Seorang peretas asal Perancis Matthieu Suiche yang juga pendiri dari perusahaan keamanan siber berbasia di UEA, Comae Technologies mengatakan kalau ia setuju dengan apa yang disampaikan oleh Group-IB bahwa kemungkinan BadRabbit dan NotPetya dibuat oleh orang yang sama.
Para pejabat di Ukrania mengatakan serangan NotPetya secara langsung mentargetkan Ukrania dan dioperasikan oleh kelompok peretas yang dikenal dengan nama Black Energy. Dimana sejumlah pakar siber mengatakan bahwa adanya keterlibatan pemerintah Rusia dan Moskow telah berulang kali menolak adanya keterlibatan mereka pada serangan siber terhadap Ukrania.
Korban – korban serangan BadRabbit terbanyak ada di Rusia, hanya sejumlah kecil terjadi di negara lain seperti Ukrania, Bulgaria, Turki dan Jepang.
Group-IB mengatakan sebagaian kode pada virus BadRabbit berasal dari pertengahan tahun 2014, bisa saja para peretas menggunakan alat peretas lama pada serangan sebelumnya.
“Ini memperlihatkan adanya hubungan dengan periode aktifnya Black Energy, kelompok ini diketahui aktif pada tahun 2014,” jelas pihak Group-IB.(hh)