Jakarta – Sebuah laporan dari perusahaan keamanan siber AS menyebutkan bahwa tiga kelompok aktivitas berbahaya yang beroperasi atas nama kepentingan negara Cina telah melakukan serangkaian serangan untuk menargetkan jaringan milik setidaknya lima perusahaan telekomunikasi besar yang berlokasi di negara-negara Asia Tenggara sejak 2017.
“Tujuan para penyerang di balik penyusupan ini adalah untuk mendapatkan dan mempertahankan akses berkelanjutan ke penyedia telekomunikasi dan untuk memfasilitasi spionase dunia maya dengan mengumpulkan informasi sensitif, membahayakan aset bisnis profil tinggi seperti server penagihan yang berisi data Call Detail Record (CDR), serta komponen jaringan utama seperti Pengontrol Domain, Server Web, dan server Microsoft Exchange,” ungkap Lior Rochberger, Tom Fakterman, Daniel Frank, dan Assaf Dahan dari Cybereason dalam analisis teknis yang diterbitkan Selasa, 3 Agustus 2021, sebagaimana dikutip The Hacker News.
Perusahaan keamanan siber yang berbasis di Boston itu menghubungkan kampanye tersebut dengan tiga pelaku ancaman Cina yang berbeda, yaitu Gallium (alias Soft Cell), Naikon APT (alias APT30 atau Lotus Panda), dan TG-3390 (alias APT27 atau Emissary Panda).
Aktivitas Emissary Panda dimulai pada tahun 2017, sementara serangan terkait Gallium pertama kali diamati pada Q4 2020, dan kelompok Naikon pada Q4 2020. Ketiga operasi spionase itu diyakini telah melanjutkan semua operasi spionase hingga pertengahan 2021.
Menyebut penyerang “sangat adaptif,” para peneliti menyebut upaya rajin mereka untuk tetap berada di bawah radar dan mempertahankan kegigihan pada titik akhir yang terinfeksi, sambil secara bersamaan mengubah taktik dan memperbarui langkah-langkah pertahanan mereka untuk berkompromi dan membuka pintu belakang server email Microsoft Exchange yang belum ditambal menggunakan eksploitasi ProxyLogon yang terungkap awal Maret ini.
“Setiap fase operasi menunjukkan kemampuan beradaptasi penyerang dalam cara mereka menanggapi berbagai upaya mitigasi, mengubah infrastruktur, perangkat, dan teknik sambil berusaha menjadi lebih tersembunyi,” catat para peneliti.
Naikon, di sisi lain, ditemukan memanfaatkan pintu belakang bernama “Nebulae” serta keylogger yang sebelumnya tidak berdokumen yang dijuluki “EnrollLoger” pada aset profil tinggi yang dipilih. Penggunaan Nebula oleh Naikon pertama kali muncul pada April 2021 yang dikaitkan dengan kampanye spionase dunia maya yang menargetkan organisasi militer di Asia Tenggara.
Terlepas dari rantai serangan, kompromi yang berhasil memicu serangkaian langkah, memungkinkan pelaku ancaman untuk melakukan pengintaian jaringan, pencurian kredensial, pergerakan lateral, dan eksfiltrasi data.
Klaster Emissary Panda adalah yang tertua dari ketiganya, terutama melibatkan penyebaran pintu belakang OWA (Outlook Web Access) berbasis .NET, yang digunakan untuk mencuri kredensial pengguna yang masuk ke layanan Microsoft OWA, memberikan penyerang kemampuan untuk mengakses lingkungan secara diam-diam.
Yang juga perlu diperhatikan adalah tumpang tindih antara klaster dalam hal viktimologi dan penggunaan alat generik seperti Mimikatz, dengan tiga kelompok terdeteksi di lingkungan target yang sama, di sekitar jangka waktu yang sama, dan bahkan pada sistem yang sama.
“Pada titik ini, tidak ada informasi yang cukup untuk menentukan dengan pasti sifat tumpang tindih ini, yaitu apakah klaster ini mewakili pekerjaan tiga aktor ancaman berbeda yang bekerja secara independen, atau apakah klaster ini mewakili pekerjaan tiga tim berbeda yang beroperasi atas nama dari aktor ancaman tunggal,” kata para peneliti.
“Hipotesis kedua adalah bahwa ada dua atau lebih aktor ancaman Cina dengan agenda/tugas berbeda yang menyadari pekerjaan masing-masing dan bahkan berpotensi bekerja bersama-sama.”
Kementerian Luar Negeri Cina tidak menanggapi permintaan komentar Bloomberg. Seorang juru bicara pemerintah sebelumnya membantah tuduhan bahwa peretas Cina menyusup ke server Microsoft Exchange.
“AS bersekongkol dengan sekutunya dan meluncurkan tuduhan yang tidak beralasan terhadap Cina tentang keamanan siber,” kata Zhao Lijian pada konferensi pers pada 20 Juli di Beijing sebagaimana dikutip Bloomberg. “Ini murni noda dan penindasan dari motif politik. Cina tidak akan pernah menerima ini.”
Seorang juru bicara Microsoft mengatakan perusahaan belum melihat laporan itu dan karena itu menolak berkomentar.
Lior Div, CEO Cybereason menolak menyebutkan perusahaan atau negara tertentu di mana peretas melakukan penyusupan mereka, meskipun laporan itu mengatakan mereka menargetkan penyedia telekomunikasi di beberapa negara Asia Tenggara yang memiliki perselisihan lama dengan Cina.
Penelitian sebelumnya dari perusahaan keamanan siber Check Point Software Technologies Ltd. menemukan bahwa salah satu kelompok peretasan sebelumnya menargetkan kementerian luar negeri pemerintah, ilmu pengetahuan dan teknologi, serta perusahaan milik pemerintah di negara-negara termasuk Indonesia, Vietnam dan Filipina.
