image credit: Pixabay.com
Perang siber adalah perang di era digital antar bangsa-bangsa dunia, sehingga tidak heran jika mengetahui Tiongkok serang perusahaan-perusahaan di Asia Tenggara.
Pelaku yang diduga berbasis di Tiongkok telah dikaitkan dengan serangkaian serangan siber yang menargetkan sejumlah perusahaan-perusahaan terkemuka di Asia Tenggara.
Operasi mata-mata sejak Oktober 2023 tersebut menargetkan perusahaan di berbagai sektor yang mencakup berbagai kementerian pemerintahan seperti:
- Sebuah perusahaan kontrol lalu lintas udara.
- Perusahaan telekomunikasi.
- Outlet media.
Serangan tersebut memanfaatkan berbagai alat yang sebelumnya diidentifikasi terkait dengan kelompok penjahat siber Advance Persistent Threat (APT) tertentu.
Yakni sebuah kelompok yang berbasis di Tiongkok yang dicirikan melalui penggunaan teknik open source dan teknik Living off the Land (LotL).
Termasuk penggunaan program proxy terbalik seperti Rakshasa dan Stowaway, serta berbagai alat penemuan dan identifikasi aset, keylogger, dan infostealer.
|
Baca juga: Mitigasi Spionase Perusahaan |
Kelompok di Belakang Serangan
Yang juga digunakan selama serangan tersebut adalah PlugX (alias Korplug), remote access trojan yang digunakan oleh beberapa kelompok peretas Tiongkok.
Pelaku juga memasang berkas DLL khusus yang berfungsi sebagai filter mekanisme autentikasi yang memungkinkan mereka untuk mencegat kredensial login.
Perusahaan milik Broadcom itu mengatakan kepada peneliti keamanan bahwa mereka tidak dapat menentukan vektor infeksi awal dalam serangan apa pun.
Dalam salah satu serangan yang menargetkan entitas yang berlangsung selama tiga bulan antara Juni dan Agustus 2024, penyerang melakukan beberapa aktivitas seperti:
- Pengintaian
- Aktivitas pembobolan kata sandi,
- Memasang keylogger.
- Menjalankan muatan DLL yang mampu mencuri informasi login pengguna.
Peneliti mencatat bahwa penyerang berhasil mempertahankan akses rahasia ke jaringan yang disusupi untuk jangka waktu yang lama, yang memungkinkan mereka untuk mengumpulkan kata sandi dan memetakan jaringan yang diinginkan.
Informasi yang dikumpulkan dikompresi menjadi arsip yang dilindungi kata sandi menggunakan WinRAR dan kemudian diunggah ke layanan penyimpanan cloud seperti File.io.
Waktu tunggu yang lama dan pendekatan yang diperhitungkan ini menggarisbawahi kecanggihan dan kegigihan pelaku ancaman. Lokasi geografis perusahaan yang menjadi target, serta penggunaan alat yang sebelumnya terkait dengan kelompok APT yang berbasis di Tiongkok, menunjukkan bahwa aktivitas ini merupakan hasil kerja pelaku yang berbasis di Tiongkok.
|
Baca juga: DIscor Jadi Sarang Kelompok APT |
Ketegangan Geopolitik Asia Tenggara
Perlu dicatat bahwa ambiguitas dalam menghubungkan serangan ini dengan aktor Tiongkok tertentu menggarisbawahi kesulitan melacak kelompok spionase siber ketika mereka sering berbagi alat dan menggunakan taktik serupa.
Ketegangan geopolitik di Asia Tenggara atas sengketa teritorial yang sedang berlangsung di Laut Cina Selatan telah dilengkapi dengan serangkaian serangan siber yang menargetkan wilayah tersebut.
Sebagaimana dibuktikan oleh kelompok aktivitas ancaman yang dilacak sebagai Unfading Sea Haze, Mustang Panda, CeranaKeeper, dan Operation Crimson Palace.
Perkembangan ini terjadi sehari setelah penelti mengungkapkan serangan yang dilakukan oleh kelompok spionase siber China-nexus yang menargetkan penyedia layanan TI bisnis-ke-bisnis besar di Eropa Selatan sebagai bagian dari kelompok aktivitas yang dijuluki Operation Digital Eye.
Sebelumnya juga terungkap bahwa sebuah perusahaan besar AS telah diretas oleh kemungkinan pelaku dari Tiongkok antara April dan Agustus 2024,
Di mana selama kurun waktu tersebut mereka bergerak secara lateral melintasi jaringan, membahayakan banyak komputer dan berpotensi mencuri data.
Sampai di sini dulu pembahasan mengenai Tiongkok serang perusahaan-perusahaan di Asia Tenggara, semoga informasi tersebut dapat bermanfaat bagi pembaca.
Sumber berita
