Lembaga-lembaga Penting di Asia Tenggara jadi Target Kelompok Hacker yang Berbasis di Tiongkok?
- Data Driven Investor
Tiongkok, VIVA – Dalam laporannya bulan Desember 2024, Tim Symantec Threat Hunter, mengungkap aktifitas spionase canggih yang menargetkan organisasi-organisasi terkemuka di seluruh Asia Tenggara. Aktifitas tersebut telah dikaitkan dengan kelompok ancaman Persisten Tingkat Lanjut (APT) yang diduga beroperasi dari Tiongkok.
Pengungkapan ini menggarisbawahi meningkatnya lanskap ancaman siber di kawasan tersebut, menyoroti kebutuhan mendesak akan tindakan keamanan siber yang kuat dan kerja sama internasional. Analisis Symantec menunjukkan bahwa aktifitas spionase terutama menargetkan lembaga pemerintah, penyedia infrastruktur penting, dan industri utama, termasuk telekomunikasi, pertahanan, dan energi.
Dilansir The Hongkong Post, Jumat 20 Desember 2024, sektor-sektor ini kemungkinan dipilih karena kepentingan strategisnya dan informasi sensitif yang ditanganinya. Data tersebut, jika disusupi, dapat memberi musuh keuntungan geopolitik dan ekonomi yang signifikan. “Pola penargetan menunjukkan niat yang jelas untuk mengumpulkan informasi intelijen yang dapat dimanfaatkan untuk tujuan strategis,” kata juru bicara Symantec.
Sebuah unggahan blog Trend Micro yang dirujuk dalam laporan Symantec mengungkapkan bahwa Earth Baku, yang awalnya berfokus pada kawasan Indo-Pasifik, telah memperluas operasinya ke Eropa, Timur Tengah, dan Afrika. Kelompok ini dilaporkan menargetkan negara-negara seperti Italia, Jerman, UEA, dan Qatar, dengan aktivitas potensial juga diamati di Georgia dan Rumania.
Symantec juga mencatat bahwa Earth Baku sebelumnya telah menggunakan alat yang disebut Rakshasa, yang menampilkan bahasa Mandarin yang disederhanakan.
Laporan Symantec mencatat bahwa kelompok APT juga membobol “sebuah organisasi besar AS dengan kehadiran signifikan di Tiongkok” selama intrusi selama empat bulan yang terdeteksi pada tanggal 11 April dan berlanjut hingga bulan Agustus.
Hacker.
- Unsplash
Pelanggaran tersebut merupakan hasil kerja aktor yang bermarkas di Tiongkok, berdasarkan bukti yang tersedia, menurut laporan tersebut.
“Para penyerang bergerak secara lateral melintasi jaringan organisasi, membahayakan banyak komputer,” kata laporan itu, tanpa mengungkapkan nama organisasi korban.
"Beberapa mesin yang menjadi target adalah Exchange Server, yang menunjukkan bahwa para penyerang mengumpulkan informasi dengan cara mengumpulkan email. Alat eksfiltrasi juga digunakan, yang menunjukkan bahwa data yang menjadi target diambil dari berbagai organisasi," tambah laporan tersebut.
Laporan tersebut menyoroti bahwa para penyerang menggunakan strategi khusus untuk menyusup ke sistem dan mempertahankan akses jangka panjang, ciri khas operasi APT.
Investigasi Symantec menghubungkan kampanye tersebut dengan kelompok APT yang berbasis di Tiongkok, berdasarkan beberapa indikator, termasuk:
- Taktik, Teknik, dan Prosedur (TTP): Penyerang menggunakan metode yang umum dikaitkan dengan kelompok APT Tiongkok yang terkenal, seperti email spear-phishing, kompromi rantai pasokan, dan eksploitasi kerentanan zero-day.
- Infrastruktur yang tumpang tindih: Symantec mengidentifikasi tumpang tindih dalam server dan alat perintah-dan-kontrol (C2) yang digunakan dalam kampanye sebelumnya yang terkait dengan aktor yang berbasis di Tiongkok.
- Viktimologi: Fokus pada Asia Tenggara sejalan dengan kepentingan strategis Tiongkok di kawasan tersebut, termasuk sengketa wilayah dan inisiatif ekonomi seperti Inisiatif Sabuk dan Jalan (BRI).
Ilustrasi hacker.
- Freepik
Walau atribusi definitif dalam serangan siber masih menantang, bobot bukti secara kuat mengarah pada keterlibatan APT Tiongkok.
Kampanye spionase tersebut menggunakan pendekatan multi-aspek untuk membobol targetnya. Metode-metode utama meliputi:
- Email spear-phishing: Email phishing yang disesuaikan dengan lampiran atau tautan berbahaya digunakan untuk membahayakan akses awal.
- Eksploitasi kerentanan zero-day: Penyerang memanfaatkan kerentanan perangkat lunak yang belum ditambal untuk menyusup ke sistem tanpa terdeteksi.
- Kompromi rantai pasokan: Dengan menargetkan vendor pihak ketiga atau penyedia layanan, penyerang memperoleh akses tidak langsung ke target utama mereka.
- Penyebaran malware tingkat lanjut: Begitu masuk ke dalam jaringan, penyerang menyebarkan malware tersembunyi yang mampu menghindari deteksi, mempertahankan persistensi, dan mencuri data sensitif.
Laporan Symantec menyoroti penggunaan alat malware khusus seperti “Trojan.Gedscan” dan “Backdoor.Shadowflame,” yang dirancang untuk beradaptasi dengan pertahanan unik setiap organisasi yang menjadi target.
Aktifitas mata-mata ini memiliki implikasi yang luas bagi Asia Tenggara dan sekitarnya:
- Risiko keamanan nasional: Pelanggaran sistem pemerintahan dan pertahanan menimbulkan ancaman signifikan terhadap keamanan nasional, yang berpotensi mengungkap strategi militer, komunikasi diplomatik, dan intelijen rahasia.
- Dampak ekonomi: Menargetkan industri seperti energi dan telekomunikasi dapat mengganggu infrastruktur penting, yang menyebabkan ketidakstabilan ekonomi dan merusak kepercayaan investor.
- Ketegangan geopolitik: Kampanye ini dapat memperburuk ketegangan regional, terutama dalam konteks sengketa wilayah yang sedang berlangsung di Laut Cina Selatan dan kawasan strategis lainnya.
- Kekhawatiran keamanan siber global: Operasi ini menyoroti semakin canggihnya kelompok APT dan meningkatnya kebutuhan akan kolaborasi internasional dalam memerangi ancaman siber.
Sehubungan dengan kampanye tersebut, Tim Threat Hunter Symantec memberikan beberapa rekomendasi untuk mengurangi risiko yang ditimbulkan oleh aktivitas spionase tersebut, yang meliputi peningkatan postur keamanan siber, memperbarui manajemen patch, memastikan keamanan rantai pasokan, menyelenggarakan pelatihan kesadaran karyawan dan meningkatkan kerja sama internasional.
Hacker.
- CSO
Kelompok ancaman persisten tingkat lanjut telah lama menjadi kekuatan signifikan dalam ranah cyber. Entitas-entitas yang disponsori negara atau memiliki sumber daya besar ini melakukan operasi yang ditujukan untuk spionase, sabotase, atau pencurian data untuk memajukan kepentingan strategis negara mereka.
Fokus pada Asia Tenggara dalam kampanye ini mencerminkan meningkatnya signifikansi geopolitik kawasan tersebut sebagai pusat perdagangan, teknologi, dan posisi militer strategis. Kelompok APT yang bermarkas di Tiongkok, khususnya, telah dikaitkan dengan sejumlah insiden cyber yang mendapat perhatian besar selama dekade terakhir.
Kegiatan mereka sering kali selaras dengan tujuan geopolitik China, termasuk klaim teritorial, ekspansi ekonomi, dan kemajuan teknologi. Aktifitas terbaru ini menambah daftar operasi siber yang menargetkan negara dan organisasi yang dianggap penting untuk mencapai tujuan ini.
Laporan Symantec berfungsi sebagai peringatan bagi Asia Tenggara dan masyarakat global karena menggarisbawahi perlunya kewaspadaan, inovasi, dan kolaborasi dalam menghadapi musuh siber yang semakin canggih.
