Cyberthreat.id - Ratusan perusahaan industri di seluruh dunia bakal menjadi target aktivitas spionase-cyber dari kelompok Advanced Persistent Threat (APT) yang dijuluki 'Gangnam Industrial Style'. Saat ini kampanye tersebut telah dimulai dan tahun 2020 kondisinya akan lebih parah lagi.

Baru-baru ini sekelompok peneliti keamanan mendeteksi dan melaporkan kampanye APT yang menargetkan produsen peralatan infrastruktur penting di seluruh dunia. Aktor jahat ditemukan menggunakan email spear-phishing bertema sektor industri, dan kombinasi alat gratis (free tools) untuk menargetkan korban.

"Tujuan para penyerang dengan gaya Gangnam ini adalah mencuri informasi seperti password dan mengumpulkan dokumen penting dari sistem yang dikompromikan," tulis laporan Cyware Hacker News, Kamis (19 Desember 2019).

File-file yang dicari penyerang bisa berisi rahasia dagang, skema desain, dan informasi bisnis sensitif yang sangat berharga.

Semua informasi tersebut membuat penjahat siber menyiapkan diri dari sekarang lalu merencanakan serangan di masa depan. Aktor jahat ingin menemukan kerentanan dalam produk, atau mendukung klien mereka unggul dari pesaing demi mendapatkan keunggulan kompetitif.

Pencurian Informasi

1. Malware yang digunakan dalam serangan itu adalah varian dari Separ, yang telah ada sejak setidaknya 2013.

2. Versi baru ini mampu mencari sistem untuk dokumen dan gambar dengan ekstensi tertentu dan mengunggahnya ke server FTP.

3. Korban menjadi sasaran dengan email Phishing yang menyamar sebagai permintaan untuk kutip (requests for quotation/RFQ) dari sektor industri dan memiliki lampiran ZIP berbahaya.

4. Kemudian ada arsip jahat yang disamarkan sebagai PDF berisi kumpulan skrip berbahaya.

Dengan temuan seperti itu, menyiratkan bahwa para penyerang melakukan pekerjaan rumah (PR) dengan baik. Email dikirim dengan lampiran dokumen palsu termasuk skema master plan, teknis kertas putih (technical white papers), profil perusahaan dan berbagai metode lain guna membuatnya terlihat lebih sah.

Negara Sasaran

1. Lebih dari setengah perusahaan yang ditargetkan berpusat di Korea Selatan.

2. Korban juga terdeteksi di China, Thailand, Jepang, Indonesia, Turki, Jerman, Inggris dan Ekuador.

3. Sebuah pelanggaran keamanan di perusahaan manufaktur di Korea Selatan baru-baru ini mengungkapkan informasi yang diperlukan untuk menyerang mitra dan pelanggan di seluruh dunia.

4. Konglomerasi miliaran USD asal Korea yang memproduksi alat berat untuk transmisi daya dan fasilitas distribusi, energi terbarukan, pabrik kimia, pengelasan, dan konstruksi juga menjadi sasaran.

"Para peneliti mencatat lebih dari 200 sistem yang dikompromikan sejauh ini selama kampanye yang masih aktif ini," tulis laporan perusahaan cybersecurity CyberX.

Korporasi dari sektor industri dan pemangku kepentingan keamanan harus memastikan bahwa sistem dan jaringan kontrol industri dilindungi dari akses yang tidak sah. Sangat disarankan untuk menerapkan otentikasi multi-faktor untuk akses jarak jauh guna mencegah akses ke data sensitif.

"Penelitian kami menunjukkan kampanye Gangnam Industrial Style sedang berlangsung, karena kredensial curian baru masih diunggah ke server C2 (command and control) musuh," kata seorang para peneliti CyberX dalam laporan.