Para Peneliti Vaksin COVID-19 Jadi Sasaran Serangan Siber
- abc
KETIKA para peneliti COVID di seluruh dunia berlomba mengembangkan vaksin yang efektif, diam-diam mereka dibuntuti oleh mata-mata dan pencuri di dunia siber.
Pasukan bayaran di dunia maya serta peretas yang disponsori negara tertentu, dengan nama sandi seperti Cozy Bear dan Hidden Cobra, aktif mengintai pengembangan vaksin yang dilakukan para peneliti.
Pekan lalu, targetnya adalah European Medicines Agency, yang memiliki dokumen rahasia tentang vaksin Pfizer yang tersimpan di servernya.
Sejauh ini, baru vaksin buatan Pfizer bekerja sama dengan BionTech, yang telah mendapatkan persetujuan untuk penggunaan darurat vaksinasi di Inggris dan Amerika Serikat.
Tidak jelas kapan atau bagaimana serangan itu berlangsung, atau siapa penanggungjawabnya, namun sejumlah dokumen berhasil diakses secara tidak sah.
Menurut Tim Wellsmore, direktur intelijen perusahaan keamanan siber FireEye, para peneliti COVID-19 kini menjadi sasaran empuk peretas.
FireEye memiliki 3.000 karyawan dengan klien perusahaan-perusahaan besar dan sejumlah pemerintah di negara Barat.
"Ada sejumlah kelompok (peretas) yang kami lihat menarget para peneliti COVID," kata Wellsmore kepada ABC.
Peretasan terhadap pengembangan vaksin Covid-19 diperkirakan terus berlangsung di tengah upaya para peneliti menemukan vaksin yang paling efektif.
AAP
Pihak berwenang di Australia menyatakan peneliti COVID di negara ini juga telah menjadi sasaran serangan siber.
Inggris telah menuduh peretasan berasal dari Rusia, sedangkan AS dan Spanyol menuding China. Negara lain menyebut serangan dilakukan dari Korea Utara, Iran dan Vietnam.
FireEye sendiri menyatakan turut diretas, dan hal itu membutuhkan "kemampuan serangan tingkat tinggi". Artinya, hanya bisa dilakukan oleh institusi negara tertentu.
Para peretas, kata FireEye, telah mencuri alat yang digunakan perusahaan ini untuk menguji pertahanan jaringan klien mereka. Kini dikhawatirkan peretas akan menggunakan alat itu untuk menyerang pihak lain.
"Membela diri terhadap serangan kelompok (peretas) ini merupakan tantangan yang terus berlanjut," kata Wellsmore.
Bagaimana serangan berlangsung?
Berbagai teknik digunakan dalam serangan terhadap peneliti COVID, termasuk spear phishing.
Teknik ini menggunakan surat elektronik (email) yang seolah-olah berasal dari sumber yang dapat dipercaya. Penerima email diarahkan ke situs website palsu yang penuh dengan virus malware.
Dalam satu kasus, para peretas menyamar sebagai perwakilan badan kesehatan dunia WHO.
Kasus lain, peretas menyamar sebagai perekrut di situs media sosial LinkedIn dan WhatsApp. Mereka mendekati peneliti di perusahaan farmasi, dengan dokumen elektronik berisi kode berbahaya yang disematkan dalam tawaran pekerjaan palsu.
"Serangan itu sangat canggih. Kadang seseorang datang ke pintu dan pintu tersebut langsung terbuka. Kadang orang (masih) menggunakan kata sandi yang sembrono," ujarnya.
Dua kelompok peretas
Secara umum, ada dua kelompok peretasan. Yaitu, kelompok yang disponsori negara tertentu dan kelompok lain yang hanya mencari keuntungan finansial sendiri.
FireEye menyebut kelompok pertama sebagai Advanced Persistent Ancaman (APT) dan memberi mereka nomor identifikai.
Sedangkan kelompok lain, yang sering menangani kejahatan terorganisir, disebut kelompok FIN.
Perusahaan keamanan siber lainnya memiliki sistem penamaan berbeda. Crowdstrike misalnya, menamai kelompok APT sesuai nama hewan di negara tersebut.
Misalnya, ada APT yang dinamai Maverick Panda terkait dengan China, Fancy Bear merujuk ke Rusia, serta Charming Kitten untuk APT dari Iran.
Akibatnya, satu grup APT bisa memiliki beberapa julukan. FireEye menyebut Fancy Bear sebagai APT28, sedangkan perusahaan keamanan siber lainnya menyebut kelompok peretas itu sebagai Pawn Storm atau Strontium.
Meskipun telah diberi nama, namun tidak banyak yang diketahui tentang mereka. Negara yang mendukung APT juga dengan mudah menyangkal.
Selama satu dekade terakhir, kelompok APT dalam permainan kucing dan tikus dengan pihak berwenang di negara sasaran.
Terkadang, kelompok APT ini juga melakukan kesalahan.
"Kami mendapatkan informasi tentang dari mana mereka beroperasi," kata Wellsmore.
"Kadang menunjuk ke gedung-gedung pemerintah dan kadang alamat rumah," katanya.
Membongkar kelompok APT1 Laporan Mandiant tahun 2013 menyebutkan bangunan perkantoran di Kota Datong, China, ini terkait dengan Unit 61398.
Supplied: Mandiant/FireEye
Pada tahun 2013, Mandiant, sebuah perusahaan yang sekarang dimiliki oleh FireEye, menerbitkan laporan yang menjelaskan secara rinci cara kerja salah satu grup APT.
Namanya Unit 61938, yang telah lama dicurigai bekerja atas nama pemerintah China. Tapi selalu dibantah.
Melalui analisis forensik, Mandiant melacak lokasi Unit 61938 ke gedung perkantoran yang tak mencolok di Kota Datong, Propinsi Shanxi. Gedung itu diketahui sebagai milik tentara China.
Yang mengejutkan adalah skala operasi Unit 61938. Gedung 12 lantai itu secara khusus memasang infrastruktur komunikasi serat optik dengan ratusan atau mungkin ribuan staf.
Laporan ini bahkan menyebutkan dan menerbitkan foto tiga anggota terkenal Unit 61938: peretas dengan nama UglyGorilla, dota, dan SuperHard.
Tujuh tahun kemudian, Mandiant membongkar lebih dari 40 grup APT, sebagian besar terkait dengan China, Rusia, Iran, Korea Utara, dan Vietnam.
Menurut Wellsmore, banyak kelompok APT kini menarget para peneliti COVID.
Di antaranya grup APT32 dari Vietnam. Mereka dikenal juga sebagai OceanLotusGroup, yang pada awal 2020 berusaha meretas Kementerian Manajemen Darurat China untuk mendapatkan informasi tentang epidemi di Wuhan.
Kelompok lain yang dituduh menarget peneliti COVID yaitu Fancy Bear (APT28) dan Cozy Bear (APT29).
Fancy Bear pernah dituduh meretas komputer Partai Demokrat AS menjelang pemilihan presiden tahun 2016.
Sementara dari Korea Utara ada grup dikenal sebagai Hidden Cobra, Lazarus atau APT38.
Menurut laporan Mandiant, APT1 menarget lembaga pemerintah dan perusahaan di berbagai negara.
Supplied: Mandiant/FireEye
Serangan terus berlangsung
Kelompok APT dan peretas lainnya terus melancarkan serangan, ibaratnya terus menggedor "pintu" sistem TI perusahaan dan fasilitas penelitian. Tujuannya untuk menguji pertahanan sasaran.
Ini terjadi jauh sebelum COVID. Meskipun jarang diberitakan, serangan berlangsung terus melalui malware, virus, dan upaya lain untuk menembus pertahanan untuk melihat apa yang ada di dalamnya.
Apakah peneliti COVID benar-benar menjadi sasaran, atau ini hanya salah tafsir tentang serangan oportunistik dan acak?
Pusat Keamanan Siber Australia (ACSC) menyatakan, fasilitas penelitian dan organisasi sektor kesehatan telah menjadi sasaran sebelum pandemi.
"ACSC memberikan nasihat teknis keamanan siber dan bimbingan kepada organisasi yang terlibat dalam penelitian vaksin COVID-19, distribusi manufaktur, dan manajemen rantai pasokan," kata ACSC.
Sergei Shevchenko, kepala teknologi di perusahaan keamanan siber Australia Prevasio, mengatakan sulit untuk menentukan mana serangan yang ditargetkan dan mana serangan acak.
Banyak serangan yang terjadi secara otomatis. Artinya, begitu server sasaran nyala secara online, maka server itu langsung dibombardir.
"Ada sistem yang disiapkan secara otomatis memindai alamat server dan mengeksploitasinya," jelas Sergei.
Ia berkata, kelompok APT biasanya menggunakan "bendera palsu" untuk membingkai kelompok mereka dari kaitan dengan negara tertentu.
Kelompok Lazarus, misalnya, terkadang berpura-pura menjadi orang Rusia.
"Lazarus sangat canggung dalam menggunakan bendera Rusia," katanya.
"Mereka menggunakan beberapa kata bahasa Rusia di kode sumber. Bagi penutur asli Rusia seperti saya, saya tahu itu merupakan terjemahan Google," jelas Sergei.
Anchor Panda merupakan salah satu kelompok peretas yang dikenal sebagai advanced persistent threat (APT).
Supplied: Crowdstrike
Berhasilkah serangan terhadap peneliti COVID?
Serangan terhadap European Medicines Agency dengan target vaksin yang dikembangkan Pfizer bersama BioNtech, diakui berhasil mencuri beberapa dokumen.
Namun tidak dijelaskan seberapa berguna dokumen-dokumen yang dicuri tersebut.
Perusahaan dan lembaga pemerintah biasanya tidak akan melaporkan bila dibobol karena khawatir dengan reputasi mereka. Atau karena para peretas terlalu piawai sehingga serangannya tak disadari.
"Apa pun yang muncul dalam pemberitaan hanyalah puncak gunung es," kata Sergei Shevchenko.
Butuh waktu bulanan untuk menyadari adanya serangan siber. Pada tahun 2018, FireEye melaporkan rata-rata masa tunggu serangan siber (waktu sebelum serangan terdeteksi) adalah 71 hari di AS, dan 204 hari di Asia Pasifik.
Menurut Robert Potter, pakar keamanan siber Australia bekerja di Deplu AS, tidak ada bukti bahwa peretas telah mencuri data COVID yang berguna.
"Saya belum mendengar laporannya," katanya.
Diproduksi oleh Farid M. Ibrahim dari artikel ABC Science.