Cyberthreat.id - Kelompok peretas yang didukung negara (Advanced Persistent Threat/APT) asal Tiongkok diduga melakukan serangan dengan metode supply chain attack ke lembaga pemerintahan dan perusahaan software di Mongolia.

Perusahaan keamanan ESET, seperti dilansir dari ZD net, mengatakan penyerang menyusup ke dalam aplikasi perpesanan  yang digunakan oleh ratusan lembaga pemerintah Mongolia. Kelompok APT ini diyakini mulai melakukan serangan tersebut mulai dari Juni tahun ini.

Berdasarkan pengamatan ESET, para peretas menargetkan aplikasi bernama Able Desktop, yang dikembangkan oleh perusahaan lokal bernama Able Software. Aplikasi tersebut merupakan add-on yang memberikan kemampuan olah pesan instan ke produk utama perusahaan, platform manajemen sumber daya manusia (HRM).

Able Software mengatakan platformnya telah digunakan oleh lebih dari 430 lembaga pemerintah Mongolia, termasuk Kantor Presiden, Kementerian Kehakiman, Kementerian Kesehatan, berbagai lembaga penegak hukum lokal, dan banyak pemerintah daerah.

Karena digunakan secara luas di kalangan pegawai pemerintah, aplikasi itu telah menjadi target penyebaran malware setidaknya sejak 2018.

ESET mengatakan, serangan awal dimulai dengan penambahan malware ke aplikasi obrolan Able Desktop dan menyebarkan versi trojan dari penginstal aplikasi melalui email, dengan harapan bisa mengelabui karyawan agar menginfeksi diri mereka sendiri. Muatan dalam serangan ini termasuk pintu belakang HyperBro dan trojan akses jarak jauh PlugX.

Namun, pada serangan yang dilakukan di Juni 2020, ESET mengatakan, ada banyak hal yang berubah. Penyerang tampaknya telah menemukan cara di dalam backend Able dan membahayakan sistem yang mengirimkan pembaruan perangkat lunak ke semua aplikasi perangkat lunak Able.

"Penyerang menyalahgunakan sistem ini setidaknya dua kali untuk mengirimkan aplikasi obrolan Able Desktop yang mengandung malware melalui mekanisme pembaruan resmi," ungkap ESET.

Dalam serangan ini, penyerang kembali mengirimkan backdoor HyperBro, tetapi mereka mengubah dari PlugX ke Tmanager sebagai komponen akses jarak jauh. Namun, masih belum jelas apakah penyerang menggunakan fitur pembaruan Able yang disusupi untuk menginstal malware di semua sistem yang dapat mereka jangkau atau mereka hanya mengejar target yang dipilih.

Untuk penjelasan lebih detail ESET hanya memberitahukan kepada Able Software. Selain itu, ESET tidak dapat menentukan serangan pada grup tertentu, karena semua strain malware yang digunakan dalam serangan sebelumnya telah digunakan oleh kelompok APT lain, seperti LuckyMouse dan TA428, atau ShadowPad yang terhubung ke banyak APT China lainnya seperti CactusPete, TICK, IceFog, KeyBoy, dan Winnti.

"Kelompok-kelompok ini berkolaborasi, menggunakan alat yang sama, atau merupakan bagian subkelompok dari pelaku ancaman yang lebih besar yang mengontrol operasi dan penargetan mereka."

Selain ESET, perusahaan keamanan siber Avast juga menerbitkan laporannya tentang serangan ini, dan menghubungkan para pelakunya kembali ke China, serta mengklasifikasikan serangan tersebut sebagai spionase siber.[]

Editor: Yuswardi A. Suud