Cyberthreat.id - Peneliti keamanan siber dari Cybereason Nocturnus mengungkap tiga operasi spionase siber yang berfokus pada upaya peretasan jaringan milik perusahaan telekomunikasi besar.

Dipublikasikan pada Selasa (3 Agustus 2021), dalam laporannya Cybereason menyebut penyerang diyakini bekerja untuk "kepentingan negara China" dan dikelompokkan dengan nama "DeadRinger."

Menurut peneliti, peretas berfokus di Asia Tengggara dan bekerja dengan cara yang mirip dengan serangan terhadap SolarWinds dan Kaseya, yakni dengan menargetkan akses ke sistem korban lewat perangkat lunak pihak ketiga yang digunakan oleh perusahaan telekomunikasi.

Cybereason meyakini serangan itu adalah pekerjaan kelompok ancaman persisten tingkat lanjut (APT) yang didukung oleh negara Tiongkok karena taktik dan teknik serangan serupa dengan kelompok APT lain yang terungkap sebelumnya.

Kelompok pertama, diyakini dioperasikan oleh Soft Cell, memulai serangannya pada 2018.

Cluster kedua, yang dikatakan sebagai hasil karya Naikon, muncul dan mulai menyerang perusahaan telekomunikasi pada kuartal terakhir tahun 2020, berlanjut hingga sekarang. Para peneliti mengatakan Naikon mungkin terkait dengan biro militer Tentara Pembebasan Rakyat China (PLA).

Cluster tiga telah melakukan serangan siber sejak 2017 dan telah dikaitkan dengan APT27/Emissary Panda, yang diidentifikasi lewat pintu belakang (backdoor) unik yang digunakan untuk meretas server Microsoft Exchange hingga kuartal pertama 2021.

Teknik yang dicatat dalam laporan termasuk eksploitasi kerentanan server Microsoft Exchange -- jauh sebelum dipublikasikan -- penyebaran web shell China Chopper, penggunaan Mimikatz untuk mengumpulkan kredensial,pembuatan Cobalt Strike untuk akses jarak jauh, dan pintu belakang untuk terhubung ke server perintah-dan-kontrol (C2) untuk eksfiltrasi data.

Cybereason mengatakan penargetan perusahaan telekomunikasi dilakukan untuk "memfasilitasi spionase cyber dengan mengumpulkan informasi sensitif, mengorbankan aset bisnis profil tinggi seperti server penagihan yang berisi data Call Detail Record (CDR), serta kunci komponen jaringan seperti pengontrol domain, server web, dan server Microsoft Exchange."

Dalam beberapa kasus, setiap kelompok tumpang tindih dan ditemukan di lingkungan target dan titik akhir yang sama, pada waktu yang sama. Namun, tidak mungkin untuk mengatakan secara definitif apakah mereka bekerja secara independen atau semua di bawah instruksi kelompok terpusat lainnya.

"Apakah cluster ini sebenarnya saling berhubungan atau dioperasikan secara independen satu sama lain tidak sepenuhnya jelas pada saat penulisan laporan ini," kata para peneliti.

"Kami menawarkan beberapa hipotesis yang dapat menjelaskan tumpang tindih ini, berharap bahwa seiring berjalannya waktu, lebih banyak informasi akan tersedia bagi kami dan peneliti lain yang akan membantu menjelaskan teka-teki ini," kata peneliti.[]