Cyberthreat.id – Firma keamanan siber asal Slovakia, ESET, mendeteksi operasi serangan siber rantai pasokan (supply chain attack) yang menargetkan perusahaan swasta dan lembaga pemerintah Vietnam.

Teknik serangan dari peretas misterius itu, kata ESET, dengan menyuntikkan perangkat lunak jahat (malware) ke perangkat lunak resmi pemerintah, demikian seperti dikutip dari ZDNet, diakses Selasa (29 Desember 2020).

Dalam laporan bertajuk “Operation SignSight”, menurut ESET, peretas menargetkan Otoritas Sertifikasi Pemerintah Vietnam (VGCA), lembaga yang menerbitkan sertifikat digital terkait tanda tangan digital untuk dokumen resmi.

Sertifikat digital yang dikeluarkan VGCA tersebut dipakai ketika warga negara Vietnam, perusahaan swasta, dan lembaga publik setempat ingin mengirimkan dokumen ke pemerintah.

VGCA tidak hanya menerbitkan sertifikat digital, tetapi juga menyediakan "aplikasi klien" yang siap pakai dan ramah pengguna yang dapat diinstal oleh siapa pun di komputer dan mengotomatiskan proses penandatanganan dokumen elektronik.

ESET mengatakan, peretas tampaknya masuk ke situs web VGCA (ca.gov.vn) dan memasukkan malware ke dalam dua aplikasi klien yang ditawarkan untuk diunduh bagi penggunanya.

Kedua file tersebut adalah aplikasi klien 32-bit (gca01-client-v2-x32-8.3.msi) dan 64-bit (gca01-client-v2-x64-8.3.msi) untuk pengguna Windows.

Antara 23 Juli hingga 5 Agustus 2020, menurut ESET, kedua file tersebut berisi trojan pintu belakang (backdoor) bernama “PhantomNet”, juga dikenal sebagai “Smanager”.

Malware itu tidak terlalu rumit, hanya kerangka gambar untuk plugin tapi lebih kuat, kata para peneliti. Plugin ini berfungsi mengambil pengaturan proxy untuk melewati firewall perusahaan dan kemampuan untuk mengunduh dan menjalankan aplikasi (berbahaya) lainnya.

ESET meyakini “pintu belakang” tersebut digunakan untuk pengintaian sebelum serangan yang lebih kompleks terhadap target tertentu.

Ketika ESET memberitahu temuan itu awal Desember, VGCA mengaklaim telah lebih dulu mengetahui serangan itu.

VGCA juga menerbitkan tutorial tentang bagaimana pengguna dapat menghapus malware dari sistem mereka—bersamaan dengan ESET menerbitkan laporan tersebut.

Korban PantomNet di Filipina

ESET mengatakan juga menemukan korban yang terinfeksi dengan pintu belakang PhantomNet di Filipina, tetapi belum tahu bagaimaa korban terinfeksi.

ESET memang tidak mengaitkan serangan itu dengan kelompok tertentu, tetapi laporan sebelumnya mengaitkan malware PhatomNet (Smanager) dengan aktivitas spionase dunia maya yang diduga mendapat dukungan China.

Insiden VGCA menandai serangan rantai pasokan besar kelima tahun ini setelah:

1. SolarWinds – Peretas diduga asal Rusia menerobos ke jaringan internal perusahaan dan menyuntikkan malware “Sunburst” ke pembaruan aplikasi Orion-nya. Akibatnya, ribuan perusahaan dan sejumlah lembaga publik AS terkena dampak peretasan.
2. Able Desktop – Peretas yang diduga dari China membobol mekanisme pembaruan aplikasi obrolan yang digunakan oleh ratusan lembaga pemerintah Mongolia.
3. GoldenSpy – Sebuah bank China telah memaksa perusahaan asing yang aktif di China untuk memasang perangkat lunak pajak pintu belakang GoldenSpy.
4. Wizvera VeraPort – Peretas diduga asal Korea Utara membobol sistem Wizvera VeraPort untuk mengirimkan malware ke pengguna di Korea Selatan.[]