Pelaku ancaman yang diduga berbasis di Tiongkok telah dikaitkan dengan serangkaian serangan siber yang menargetkan sejumlah perusahaan terkemuka di Asia Tenggara setidaknya sejak Oktober 2023.
Operasi mata-mata tersebut menargetkan sejumlah perusahaan di berbagai sektor yang mencakup berbagai kementerian pemerintah di dua negara berbeda, sebuah perusahaan kontrol lalu lintas udara, sebuah perusahaan telekomunikasi, dan sebuah outlet media.
Serangan tersebut, yang memanfaatkan berbagai alat yang sebelumnya diidentifikasi terkait dengan kelompok ancaman persisten tingkat lanjut (APT) yang berbasis di Tiongkok, dicirikan oleh penggunaan teknik open source dan teknik Living off the Land (LotL).
Ini termasuk penggunaan program proxy terbalik seperti Rakshasa dan Stowaway, serta berbagai alat penemuan dan identifikasi aset, keylogger, dan pencuri kata sandi.
|
Baca juga: DIscor Jadi Sarang Kelompok APT |
Kelompok di Belakang Serangan
Yang juga digunakan selama serangan tersebut adalah PlugX (alias Korplug), sebuah trojan akses jarak jauh yang digunakan oleh beberapa kelompok peretas Tiongkok.
Pelaku juga memasang berkas DLL khusus yang berfungsi sebagai filter mekanisme autentikasi, yang memungkinkan mereka untuk mencegat kredensial login.
Perusahaan milik Broadcom itu mengatakan kepada peneliti keamanan bahwa mereka tidak dapat menentukan vektor infeksi awal dalam serangan apa pun.
Dalam salah satu serangan yang menargetkan entitas yang berlangsung selama tiga bulan antara Juni dan Agustus 2024, penyerang melakukan pengintaian dan aktivitas pembobolan kata sandi, sambil juga memasang keylogger dan menjalankan muatan DLL yang mampu menangkap informasi login pengguna.
Peneliti mencatat bahwa penyerang berhasil mempertahankan akses rahasia ke jaringan yang disusupi untuk jangka waktu yang lama, yang memungkinkan mereka untuk mengumpulkan kata sandi dan memetakan jaringan yang diinginkan.
Informasi yang dikumpulkan dikompresi menjadi arsip yang dilindungi kata sandi menggunakan WinRAR dan kemudian diunggah ke layanan penyimpanan cloud seperti File.io.
Waktu tunggu yang lama dan pendekatan yang diperhitungkan ini menggarisbawahi kecanggihan dan kegigihan pelaku ancaman. Lokasi geografis perusahaan yang menjadi target, serta penggunaan alat yang sebelumnya terkait dengan kelompok APT yang berbasis di Tiongkok, menunjukkan bahwa aktivitas ini merupakan hasil kerja aktor yang berbasis di Tiongkok.
|
Baca juga: Mitigasi Spionase Perusahaan |
Ketegangan Geopolitik Asia Tenggara
Perlu dicatat bahwa ambiguitas dalam menghubungkan serangan ini dengan aktor Tiongkok tertentu menggarisbawahi kesulitan melacak kelompok spionase siber ketika mereka sering berbagi alat dan menggunakan taktik serupa.
Ketegangan geopolitik di Asia Tenggara atas sengketa teritorial yang sedang berlangsung di Laut Cina Selatan telah dilengkapi dengan serangkaian serangan siber yang menargetkan wilayah tersebut.
Sebagaimana dibuktikan oleh kelompok aktivitas ancaman yang dilacak sebagai Unfading Sea Haze, Mustang Panda, CeranaKeeper, dan Operation Crimson Palace.
Perkembangan ini terjadi sehari setelah penelti mengungkapkan serangan yang dilakukan oleh kelompok spionase siber China-nexus yang menargetkan penyedia layanan TI bisnis-ke-bisnis besar di Eropa Selatan sebagai bagian dari kelompok aktivitas yang dijuluki Operation Digital Eye.
Minggu lalu, juga terungkap bahwa sebuah perusahaan besar AS yang tidak disebutkan namanya telah diretas oleh kemungkinan aktor ancaman Tiongkok antara April dan Agustus 2024, di mana selama kurun waktu tersebut mereka bergerak secara lateral melintasi jaringan, membahayakan banyak komputer dan berpotensi mencuri data.
Sumber berita: