Grup Peretasan Cina Meluncurkan Serangan Global | VPNoverview.com

Sebuah perusahaan keamanan Belanda, yang disebut Fox-IT, hari ini merilis sebuah laporan menyusul penyelidikan mereka terhadap spionase cyber Cina. Dalam dua tahun terakhir, sistem komputer puluhan perusahaan dan lembaga pemerintah di seluruh dunia telah diserang. Belanda menyimpulkan dengan tingkat kepastian yang tinggi bahwa kelompok peretasan Cina berada di balik serangan itu.


Kampanye Global Cyber ​​Spionage Ditemukan

Investigasi bernama “Operation Wocao” (我 操, “Wǒ cāo” dalam bahasa Cina, slang untuk “shit” atau “sial”) berlangsung selama hampir dua tahun. Peneliti keamanan Belanda mengatakan semua bukti mengarah pada kelompok peretasan Cina yang disebut APT20, yang kemungkinan bekerja untuk kepentingan pemerintah Cina.

Fox-IT menemukan kampanye peretasan kelompok pada musim panas 2018, sambil melakukan analisis sistem komputer yang disusupi untuk salah satu kliennya. Mereka mampu mengikuti jejak dan menemukan lusinan serangan serupa yang telah dilakukan oleh kelompok yang sama.

Dalam laporan lenghty, Belanda menjelaskan bahwa “Sangat sedikit yang diketahui atau dipublikasikan publik tentang aktor yang kami gambarkan, tetapi daripada memberikan aktor ini alias milik kami, kami memilih untuk menjangkau mitra industri. Ini membantu kami menghubungkan beberapa teknik dan alat yang sebelumnya tidak dipublikasikan dalam laporan ini, dengan keyakinan sedang, kepada aktor ancaman Tiongkok yang dikenal sebagai APT20. Berdasarkan korban yang diamati dari aktor ini, kami juga menilai bahwa aktor ancaman ini kemungkinan bekerja untuk kepentingan pemerintah Tiongkok. ”

Tujuannya Bukan Uang, tapi Pengetahuan

Para peretas tidak mencuri uang atau menginstal ransomware. Mereka semata-mata mencari informasi dan pengetahuan yang peka-bisnis, sesuatu yang akan diminati oleh pemerintah Cina.

Berapa banyak data yang berhasil dikumpulkan oleh penyerang dalam beberapa tahun terakhir tidak dapat dipastikan. Apa yang diketahui, adalah bahwa antara 2009 dan 2014, APT20 (juga dikenal sebagai Violin Panda dan th3bug) telah dikaitkan dengan kampanye peretasan yang menargetkan universitas, militer, organisasi perawatan kesehatan, dan perusahaan telekomunikasi.

Menurut Fox-IT, kelompok peretasan Cina menjadi tidak aktif selama beberapa tahun. Namun, baru-baru ini muncul kembali dan diam-diam menargetkan perusahaan dan lembaga pemerintah.

Beberapa Teknik Novel Digunakan

Laporan ini memberikan tinjauan umum tentang teknik yang digunakan oleh peneliti keamanan Belanda untuk diketahui oleh APT20. Titik akses awal biasanya merupakan server web yang rentan atau sudah dikompromikan. Begitu masuk, para peretas bergerak melalui jaringan menggunakan metode-metode terkenal. Akhirnya, mereka dapat menggunakan kredensial curian untuk mengakses jaringan korban melalui VPN perusahaan.

Dalam satu kasus, kelompok peretas bahkan dapat menghindari bentuk otentikasi dua faktor yang dimaksudkan untuk mencegah serangan tersebut. Untuk melakukannya, para peretas mengembangkan teknik untuk mengambil 2 kode faktor untuk terhubung ke server VPN perusahaan dan memberi mereka izin untuk masuk. Alat buatan khusus lainnya juga ditemukan.

Selanjutnya, para peretas menggunakan beberapa alat backdoor dan open source untuk menyusup lebih jauh ke dalam jaringan untuk secara manual mengidentifikasi dan mengumpulkan informasi. Setelah mengunduh data, semua jejak dihapus untuk menghalangi penyelidikan forensik yang mendalam, dan pintu belakang ditutup.

Banyak Korban Di Seluruh Dunia

Fox-IT tidak mau menyebutkan nama-nama korban. Tetapi Belanda memang memberikan daftar sektor di mana APT20 aktif.

Di antara korban adalah perusahaan penerbangan, perusahaan konstruksi, sektor energi, lembaga keuangan, organisasi perawatan kesehatan, perusahaan teknik lepas pantai, pengembang perangkat lunak dan perusahaan transportasi.

Negara-negara yang terkena dampak termasuk Brasil, Cina, Prancis, Jerman, Italia, Meksiko, Portugal, Spanyol, AS, dan Inggris.

Beberapa Kesalahan yang Dilakukan Grup Peretasan China

Selama pekerjaan spionase mereka, para peretas melakukan beberapa kesalahan, meninggalkan “sidik jari”.

Sebagai contoh,

  • Ada beberapa pengaturan bahasa yang bocor, menunjukkan bahwa peretas menjalankan peramban dengan pengaturan bahasa Cina.
  • Ketika mendaftarkan server sewaan, para peretas memberikan alamat AS yang tidak ada, tetapi secara tidak sengaja menulis nama negara bagian Louisiana dalam karakter China.
  • Pada satu titik, para peretas menggunakan kode yang hanya bisa ditemukan di forum Cina.

Setelah beberapa saat, para peneliti keamanan Belanda juga mulai memperhatikan bahwa para peretas secara ketat mematuhi jam kantor Cina.

Nama investigasi Fox-IT “Operation Wocao”, adalah salah satu perintah yang dieksekusi oleh peretas dalam upaya frustrasi untuk mengakses kulit web yang dihapus, setelah Fox-IT membalikkan pembobolan digital.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me