Cyberthreat.id – Serangan siber yang menimpa Air India pada Mei lalu diduga terkait dengan geng peretas yang terafiliasi dengan China, biasa dijuluki APT41.

Pada 21 Mei lalu, maskapai penerbangn Air India mengalami kebocoran data informasi pribadi penumpang yang terdaftar antara 26 Agustus 2011 hingga 3 Februari 2021. Diduga sebanyak 4,5 juta penumpang terkena dampak.

Data yang bocor, antara lain nama, tanggal lahir, informasi kontak, informasi paspor, informasi tiket, Star Alliance, dan data frequent flyer Air India, serta data kartu kredit.

Insiden tersebut diduga terkait dengan serangan rantai pasokan (supply chain attack) yang ditagetkan ke peneydia Sistem Layanan Penumpan (PSS) SITA pada Februari lalu. SITA bertanggung jawab dalam menyimpan dan memproses informasi pribadi penumpang. (Baca: Maskapai Air India Umumkan Kebocoran Data)

Perusahaan keamanan siber asal Singapura, Group-IB menjuluki operasi serangan ke Air India dengan “Column TK” berdasarkan nama domain server perintah dan kontrol (C2) yang dipakai oleh peretas.

APT41 dikenal pula dengan julukan “Winnti Umbrella”, “Axiom”, dan “Barium”. Serangan mereka umumnya fokus dalam pencurian data dan spionase. Targetnya, antara lain organisasi yang bergerak di bidang kesehatan, teknologi tinggi, dan telekomunikasi. Motivasi kejahatan mereka ialah uang.

FireEye, perusahaan keamanan siber AS, pernah menyebut bahwa operasi APT41 juga menargetkan industri game, pendidikan, layanan perjalanan, dan perusahaan media.

Analisis Group-IB mengungkapkan bahwa setidaknya sejak 23 Februari, perangkat yang terinfeksi di jaringan Air India (bernama “SITASERVER4”) berkomunikasi dengan server yang menampung muatan “Cobalt Strike” sejak 11 Desember 2020)

“Setelah peretasan awal tersebut, penyerang berupaya keras mendapatkan kata sandi sebagai pijakan secara lateral ke jaringan yang lebih luas guna mengumpulkan informasi di jaringan lokal,” menurut Group-IB dikutip dari The Hacker News, diakses Senin (14 Juni 2021).

Sedikitnya terdapat 20 perangkat terinfeksi selama pergerakan lateral tersebut. Penyerang mengekstrak hash NTLM dan kata sandi teks biasa dari workstation lokal menggunakan hashdump dan mimikatz, tutur Analis Intelijen Ancaman Group-IB, Nikita Rostovcev.

Menurut Nikita, penyerang juga terdeteksi berupaya meningkatkan hak istimewa lokal dengan bantuan perangkat lunak jahat (malware) “BadPotato”.

Secara keseluruhan, peretas mengekstrak 23,33 MB data dari lima perangkat bernama SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01, dan WEBSERVER3, dengan penyerang membutuhkan waktu 24 jam dan 5 menit untuk menyebarkan suar Cobalt Strike ke perangkat lain di jaringan maskapai.

Sementara titik masuk awal masih belum diketahui, fakta yang terjadi ialah "perangkat pertama yang mulai berkomunikasi dengan server peretas ialah server SITA.

Lalu, fakta kedua, SITA memberitahu Air India tentang insiden keamanannya. Ini memberikan alasan yang masuk akal untuk meyakini bahwa peretasan dari jaringan Air India adalah hasil dari serangan rantai pasokan yang canggih, yang mungkin dimulai dengan SITA, tulis Group-IB.

Peneliti Group-IB mengindikasikan bahwa infrastruktur serangan itu memiliki kesamaan serangan yang sebelumnya dilakukan oleh “Barium”. Taktik yang digunakan oleh peretas yaitu memarkir domain mereka setelah operasi selesai.

Group-IB juga mengatakan menemukan file bernama "Install.bat" yang memiliki kesamaan dengan muatan yang digunakan dalam serangan global tahun lalu.[]