Cyberthreat.id - Kelompok peretasan yang diduga asal  China telah menyerang industri penerbangan selama beberapa tahun terakhir dengan tujuan mendapatkan data penumpang untuk melacak pergerakan orang yang diintai.

Pelakunya dikaitkan oleh pakar keamanan dunia maya dengan nama Chimera.

Diyakini beroperasi untuk kepentingan negara Tiongkok, aktivitas kelompok tersebut pertama kali dijelaskan dalam sebuah laporan [PDF] dan presentasi Black Hat [PDF] dari CyCraft pada tahun 2020.

Laporan awal menyebutkan serangkaian serangan terkoordinasi terhadap industri superkonduktor Taiwan. Namun, dalam laporan baru yang diterbitkan minggu lalu oleh NCC Group dan anak perusahaannya Fox-IT, kedua perusahaan itu  mengatakan intrusi kelompok itu lebih luas dari yang diperkirakan, karena juga menargetkan industri penerbangan.

"NCC Group dan Fox-IT mengamati aktor ancaman ini selama berbagai keterlibatan respons insiden yang dilakukan antara Oktober 2019 hingga April 2020," kata kedua perusahaan itu seperti dilaporkan ZDnet, Rabu (20 Januari 2021)

Serangan ini menargetkan perusahaan semikonduktor dan maskapai penerbangan di berbagai wilayah geografis, dan bukan hanya Asia, kata NCC dan Fox-IT.

Dalam kasus beberapa korban, para peretas tetap bersembunyi di dalam jaringan hingga tiga tahun sebelum ditemukan.

Peretas mengambil data pengguna dari RAM server pemesanan penerbangan
Sementara serangan yang diatur terhadap industri semikonduktor ditujukan untuk pencurian kekayaan intelektual (IP), serangan terhadap industri penerbangan lebih difokuskan pada hal lain.

"Tujuannya menargetkan beberapa korban tampaknya untuk mendapatkan Catatan Nama Penumpang (PNR)," kata kedua perusahaan itu.

"Bagaimana data PNR ini diperoleh kemungkinan berbeda-beda untuk setiap korban, tetapi kami mengamati penggunaan beberapa file DLL khusus yang digunakan untuk terus mengambil data PNR dari memori sistem tempat data tersebut biasanya diproses, seperti server pemesanan penerbangan."

Serangan Chimera yang khas
Laporan gabungan NCC dan Fox-IT juga menjelaskan modus operandi khas grup Chimera, yang biasanya dimulai dengan mengumpulkan kredensial login pengguna yang bocor di domain publik setelah mendapat data yang bocor dari perusahaan lain.

Data ini digunakan untuk serangan memecahkan kata sandi atau isian kredensial terhadap layanan karyawan target, seperti akun email. Setelah masuk, operator Chimera mencari detail login untuk sistem perusahaan, seperti sistem Citrix dan peralatan VPN.

Begitu berada di dalam jaringan internal, penyusup biasanya menggunakan Cobalt Strike, yang mereka gunakan untuk berpindah secara lateral ke sebanyak mungkin sistem, mencari IP dan detail penumpang.

Kedua perusahaan keamanan itu mengatakan bahwa para peretas itu sabar dan teliti dan akan mencari sampai mereka menemukan cara untuk menerobos jaringan tersegmentasi untuk mencapai sistem yang diinginkan.

Begitu mereka menemukan dan mengumpulkan data yang mereka cari; informasi ini secara teratur diunggah ke layanan cloud publik seperti OneDrive, Dropbox, atau Google Drive. Itu lantaran biasanya lalu lintas ke layanan ini tidak akan diperiksa atau diblokir di dalam jaringan yang dibobol.

Melacak minat target
Meskipun laporan NCC dan Fox-IT tidak berspekulasi mengapa para peretas menargetkan industri penerbangan dan mengapa mereka mencuri data penumpang, faktanya,  sangat umum bagi grup peretas yang disponsori negara menargetkan perusahaan penerbangan, jaringan hotel, dan telekomunikasi untuk mendapatkan data yang dapat mereka gunakan untuk melacak pergerakan dan komunikasi orang-orang yang diincar.

Contoh sebelumnya termasuk grup Cina APT41, yang menargetkan perusahaan telekomunikasi dengan malware khusus yang mampu mencuri pesan SMS. Serangan itu diyakini terkait dengan upaya China untuk melacak minoritas Uyghur, dengan beberapa upaya ini melibatkan peretasan perusahaan telekomunikasi untuk melacak pergerakan pelancong Uighur.

Grup China lain yang menargetkan perusahaan telekomunikasi adalah APT10 (atau Gallium), yang aktivitasnya dirinci dalam laporan Operasi Soft Cell Cybereason.

Selain itu, peretas yang disponsori negara Tiongkok juga dikaitkan dengan peretasan Marriott, di mana mereka mencuri banyak detail reservasi hotel selama bertahun-tahun.

Tetapi China bukan satu-satunya yang terlibat dalam jenis serangan ini. Grup Iran APT39 juga telah dikaitkan dengan pelanggaran di penyedia telekomunikasi dan perusahaan perjalanan untuk tujuan melacak pembangkang Iran.  Sementara grup Iran lainnya, yang dikenal sebagai Greenbug, telah dikaitkan dengan peretasan terhadap beberapa penyedia telekomunikasi di seluruh Asia Tenggara.

Lalu, ada juga Spesialis Operasi, operasi GCHQ Inggris yang menargetkan perusahaan telekomunikasi Belgia Belgacom antara tahun 2010 dan 2013.[]