Cyberthreat.id – Perusahaan keamanan siber asal Inggris, NCC Group dan anak perusahaannya, Fox-IT mendeteksi aktivitas baru dari geng peretas Chimera.

Geng tersebut saat ini memperluas target serangan, yaitu industri penerbangan dan mengincar data para penumpang, demikian seperti dikutip dari ZDNet, portal berita cybersecurity, Rabu (20 Januari 2021).

Sebelumnya, pada Black Hat 2020, peneliti dari perusahaan keamanan asal Taiwan, CyCraft juga memaparkan aktivitas geng tersebut.

Laporan kala itu menyebutkan, geng Chimera melancarkan serangan terkoordinasi terhadap industri superkonduktor Taiwan.

CyCraft juga menuding kelompok tersebut berasal dari China dan diduga untuk kepentingan pemerintah China.

Sementara, dalam laporan terbaru, NCC Group dan Fox-IT mengamati aktor ancaman tersebut antara Oktober 2019 hingga April 2020. Serangan ini menargetkan perusahaan semikonduktor dan maskapai penerbangan di berbagai negara, tak hanya di kawasan Asia.

Dalam beberapa kasus korban, para peretas bersembunyi di dalam jaringan hingga tiga tahun sebelum ditemukan.

Ciri khas serangan

Laporan gabungan itu juga menjelaskan modus operandi geng Chimera. Mereka biasanya memulai dengan mengumpulkan kredensial login pengguna yang bocor di domain publik.

Data tersebut digunakan untuk serangan penyemprotan sandi (password spraying attacks) atau isian kredensial (credential stuffing) terhadap calon korban, seperti akun email.

---

Baca:

• Mengenal Password Spraying, Taktik yang Sering Dipakai Geng Hacker Rusia Strontotium
• Simak Tips dari Sumit Agarwal, Pencipta Istilah Credential Stuffing

---

Setelah berhasil masuk ke email korban, operator Chimera mencari detail login untuk sistem perusahaan, seperti sistem Citrix dan VPN.

Begitu berada di dalam jaringan internal, penyusup biasanya menggunakan Cobalt Strike, kerangka kerja pengujian penetrasi yang digunakan untuk "emulasi musuh", untuk berpindah secara lateral ke sebanyak mungkin sistem, mencari alamat IP, dan detail penumpang.

Begitu mereka menemukan dan mengumpulkan data yang mereka kejar; informasi ini secara teratur diunggah ke layanan cloud publik seperti OneDrive, Dropbox, atau Google Drive—taktik yang dipakai agar tak dicurigai.

Mengapa data penumpang?

Selama ini, umum bagi geng peretas yang disponsori negara menargetkan perusahaan penerbangan, jaringan hotel, dan telekomunikasi. Tujuannya, untuk mendapatkan data “orang-orang penting”.

Contoh sebelumnya, geng APT41 asal China, yang menargetkan perusahaan telekomunikasi dengan malware khusus yang mampu mencuri pesan SMS. Serangan itu diyakini terkait dengan upaya China untuk melacak minoritas Uighur.

Grup China lain yang menargetkan perusahaan telekomunikasi adalah APT10 (atau Gallium), yang aktivitasnya dirinci dalam laporan perusahaan keamanan siber, Cybereason.

Namun, geng peretas China bukan satu-satunya yang terlibat dalam jenis serangan tersebut.

Geng Iran APT39 juga diduga terkait serangan ke penyedia telekomunikasi dan perusahaan perjalanan untuk tujuan melacak para pengkritik dan pemberontak di Iran.

Lalu, ada operasi intelijen GCHQ Inggris dengan kode “Operation Specialits—aktivitas rahasia yang dibocorkan oleh Edward Snowden—yang menargetkan perusahaan telekomunikasi Belgia Belgacom antara 2010 hingga 2013.[]