JAKARTA – Pakar keamanan Symantec Threat Hunter menemukan apa yang mereka sebut sebagai kampanye spionase yang menyasar organisasi besar di Asia Tenggara. Dalam laporan terbaru yang dirilis pada bulan Desember 2024, sebuah kelompok dari perusahaan teknologi Symantec mengaitkan kampanyenya dengan kelompok ancaman persisten tingkat lanjut (APT) yang dicurigai beroperasi di Tiongkok.
Pengungkapan Symantec menyoroti lanskap ancaman siber yang berkembang di Asia Tenggara, menyoroti perlunya langkah-langkah keamanan siber yang mendesak dan kerja sama internasional.
Analisis Symantec menunjukkan bahwa kampanye spionase terutama menargetkan lembaga pemerintah, penyedia infrastruktur penting, dan industri besar, termasuk telekomunikasi, pertahanan, dan energi.
Sektor-sektor ini mungkin dipilih karena kepentingan strategisnya dan informasi sensitif yang dibawanya. Informasi tersebut, jika dilanggar, akan memberikan keuntungan geopolitik dan ekonomi yang signifikan bagi pihak-pihak yang bermusuhan.
Menurut Hong Kong Post, juru bicara Symantec mengatakan pada Senin (16/12/2024) “Model target menunjukkan keinginan yang jelas untuk mengumpulkan informasi yang dapat digunakan untuk tujuan strategis.”
Konten di situs blog Trend Micro yang dikutip dalam laporan Symantec menyebutkan bahwa kelompok peretas Earth Baku, yang awalnya berfokus di kawasan Indo-Pasifik, telah memperluas operasinya ke Eropa, Timur Tengah, dan Afrika.
Kelompok ini telah menargetkan negara-negara seperti Italia, Jerman, Uni Emirat Arab dan Qatar, dan dikatakan telah melakukan kemungkinan operasi di Georgia dan Rumania.
Symantec juga mengungkapkan bahwa EarthBaku sebelumnya telah menggunakan alat bernama Rakshasa yang berisi bahasa Mandarin Sederhana.
Koleksi email
Menurut laporan Symantec, grup APT menyusup ke perusahaan besar Amerika Serikat (AS) di Tiongkok dalam serangan empat bulan yang ditemukan pada 11 April dan berlangsung hingga Agustus.
Pelanggaran tersebut merupakan ulah aktor yang berlokasi di Tiongkok, berdasarkan bukti, lapor Symantec.
“Para penyerang bergerak ke samping melalui jaringan organisasi dan menyusup ke banyak komputer,” kata laporan itu, tanpa menyebutkan nama perusahaan korban.
“Beberapa mesin yang ditargetkan adalah server Exchange, dan penyerang menggunakan pengumpulan email untuk mengumpulkan data. Spyware juga digunakan, yang mengindikasikan bahwa data yang ditargetkan dikumpulkan dari organisasi-organisasi ini,” tambah laporan Symantec.
Laporan Symantec juga mengindikasikan bahwa para penyerang menggunakan taktik khusus untuk menyusupi sistem dan mempertahankan akses jangka panjang, yang merupakan ciri khas operasi APT.
Investigasi Symantec mengaitkan kampanye tersebut dengan kelompok APT yang berbasis di Tiongkok berdasarkan beberapa indikator, termasuk: Taktik, Teknik, dan Prosedur (TTP): Para penyerang menggunakan metode yang umumnya dikaitkan dengan kelompok APT Tiongkok yang populer, seperti Phishing MailSpice, Perjanjian Rantai Pasokan, dan Eksploitasi kerentanan zero-day. Penumpukan infrastruktur: Symantec telah menggunakan penumpukan di server dan peralatan komando dan kontrol (C2) dalam kampanye sebelumnya melawan aktor-aktor yang berbasis di Tiongkok. Victimology: Fokus pada Asia Tenggara konsisten dengan kepentingan strategis Tiongkok di kawasan ini, termasuk sengketa wilayah dan inisiatif ekonomi seperti Belt and Road Initiative (BRI). Meskipun sifat sebenarnya dari serangan siber ini cukup menantang, banyak bukti yang menunjukkan keterlibatan APT Tiongkok.
Kampanye spionase menggunakan pendekatan multi-cabang untuk menyusup ke target mereka. Taktik utamanya meliputi: Email phishing: Email phishing yang dipersonalisasi dengan lampiran atau tautan berbahaya digunakan untuk menyusupi akses awal. Memanfaatkan kerentanan zero-day: Penyerang menggunakan kerentanan dalam perangkat lunak yang belum dipatch untuk menyusup ke sistem yang tidak dikenal. Kompromi Rantai Pasokan: Dengan menargetkan pemasok pihak ketiga atau penyedia layanan, penyerang mendapatkan akses tidak langsung ke target utama mereka. Penyebaran malware tingkat lanjut: Saat berada di dalam jaringan, penyerang menyebarkan malware tersembunyi untuk menghindari deteksi, mempertahankan persistensi, dan mencuri data sensitif.
Laporan Symantec menyoroti penggunaan alat malware khusus seperti “Trojan.Gedscan” dan “Backdoor.Shadowflame” untuk memenuhi pertahanan unik setiap organisasi target.
Kampanye intelijen ini mempunyai implikasi besar bagi Asia Tenggara dan sekitarnya: Ancaman Keamanan Nasional: Pelanggaran terhadap sistem pertahanan dan pemerintahan menimbulkan ancaman yang signifikan terhadap keamanan nasional, yang berpotensi mengungkap taktik militer rahasia, komunikasi diplomatik, dan operasi intelijen. Dampak ekonomi: Menargetkan industri seperti energi dan telekomunikasi dapat mengganggu infrastruktur penting, menyebabkan ketidakstabilan ekonomi dan melemahkan kepercayaan investor. Ketegangan geopolitik: Kampanye ini kemungkinan akan memperburuk ketegangan regional, terutama dalam konteks sengketa regional yang sedang berlangsung di Laut Cina Selatan dan wilayah strategis lainnya. Ancaman Keamanan Siber Global: Tugas ini mencerminkan semakin kompleksnya kelompok APT dan perlunya kerja sama internasional untuk memerangi ancaman siber yang semakin meningkat.
Musuh dunia maya semakin meningkat
Sehubungan dengan kampanye spionase jahat ini, tim Threat Hunter Symantec membuat beberapa rekomendasi untuk memitigasi risiko, termasuk meningkatkan perilaku keamanan siber, meningkatkan manajemen patch, memastikan keamanan rantai pasokan, memberikan pelatihan kesadaran karyawan, dan meningkatkan kolaborasi global.
Seiring berjalannya waktu, kelompok ancaman tingkat lanjut yang terus-menerus tetap menjadi kekuatan yang signifikan dalam domain siber. Entitas yang disponsori negara atau memiliki sumber daya yang baik ini terlibat dalam aktivitas yang bertujuan untuk spionase, sabotase, atau pencurian data demi mencapai kepentingan strategis negaranya.
Fokus kampanye di Asia Tenggara mencerminkan semakin pentingnya kawasan ini secara geopolitik sebagai pusat perdagangan, teknologi, dan situs militer strategis.
Secara khusus, kelompok APT yang berbasis di Tiongkok telah dikaitkan dengan banyak ancaman dunia maya tingkat tinggi sejak dekade terakhir.
Aktivitas mereka sering kali sejalan dengan tujuan geopolitik Tiongkok, termasuk klaim teritorial, ekspansi ekonomi, dan kemajuan teknologi. Kampanye terbaru ini menambah daftar operasi dunia maya yang terus bertambah terhadap negara-negara dan organisasi-organisasi yang dianggap penting dalam perjuangan ini.
Laporan Symantec menjadi peringatan bagi Asia Tenggara dan komunitas global, dengan menyoroti perlunya kewaspadaan, inovasi, dan kerja sama dalam menghadapi musuh siber yang semakin canggih.
(Apa)