Laporan Symantec: Grup Hacker China Targetkan Sejumlah Entitas Penting di Asia Tenggara

JAKARTA – Pakar keamanan Symantec Threat Hunter mengungkap apa yang disebut sebagai kampanye spionase, yang menargetkan organisasi-organisasi terkemuka di seluruh Asia Tenggara. Dalam laporan terbarunya pada Desember 2024, tim dari perusahaan teknologi Symantec itu mengaitkan kampanye tersebut dengan kelompok-kelompok ancaman persisten tingkat lanjut (APT) yang diduga beroperasi dari China.

Pengungkapan Symantec ini menggarisbawahi meningkatnya lanskap ancaman siber di Asia Tenggara, yang menyoroti kebutuhan mendesak akan langkah-langkah keamanan siber yang kuat dan kerja sama internasional.

Analisis Symantec menunjukkan bahwa kampanye spionase tersebut terutama menargetkan lembaga-lembaga pemerintah, penyedia infrastruktur penting, dan industri-industri utama, termasuk telekomunikasi, pertahanan, dan energi.

Sektor-sektor ini kemungkinan dipilih karena kepentingan strategisnya dan informasi sensitif yang mereka tangani. Data tersebut, jika dikompromikan, dapat memberi musuh keuntungan geopolitik dan ekonomi yang signifikan.

"Pola penargetan menunjukkan niat yang jelas untuk mengumpulkan intelijen yang dapat dimanfaatkan untuk tujuan-tujuan strategis," kata juru bicara Symantec, dilansir The Hong Kong Post, Senin (16/12/2024).

Sebuah konten di situs blog Trend Micro yang dirujuk dalam laporan Symantec mengungkapkan bahwa kelompok hacker Earth Baku, yang awalnya berfokus pada kawasan Indo-Pasifik, telah memperluas operasinya ke Eropa, Timur Tengah, dan Afrika.

Kelompok tersebut dilaporkan telah menargetkan negara-negara seperti Italia, Jerman, Uni Emirat Arab, dan Qatar, dengan aktivitas potensial berlangsung di Georgia dan Rumania.

Symantec juga mencatat bahwa Earth Baku sebelumnya telah menggunakan alat yang disebut Rakshasa, yang menampilkan bahasa Mandarin yang disederhanakan.

Memanen Email

Laporan Symantec mencatat bahwa kelompok APT juga membobol "organisasi besar Amerika Serikat  (AS) dengan kehadiran signifikan di China” dalam sebuah intrusi selama empat bulan yang terdeteksi pada 11 April dan berlanjut hingga Agustus.

Pelanggaran tersebut merupakan hasil kerja aktor yang berbasis di China, berdasarkan bukti yang tersedia, menurut laporan Symantec.

"Para penyerang bergerak secara lateral melintasi jaringan organisasi, membahayakan beberapa komputer," kata laporan tersebut, tanpa mengungkapkan nama organisasi korban.

"Beberapa mesin yang menjadi target adalah Exchange Server, yang menunjukkan bahwa para penyerang mengumpulkan intelijen dengan memanen email. Alat-alat eksfiltrasi juga digunakan, yang menunjukkan bahwa data yang ditargetkan diambil dari organisasi-organisasi tersebut,” tambah laporan Symantec.

Laporan Symantec juga menyoroti bahwa para penyerang menggunakan strategi yang disesuaikan untuk menyusup ke sistem dan mempertahankan akses jangka panjang, ciri khas operasi APT.

Investigasi Symantec mengaitkan kampanye tersebut dengan kelompok-kelompok APT yang berbasis di China, berdasarkan beberapa indikator, termasuk:

• Taktik, Teknik, dan Prosedur (TTP): Para penyerang menggunakan metode yang umumnya dikaitkan dengan kelompok-kelompok APT China yang dikenal, seperti email spear-phishing, kompromi rantai pasokan, dan mengeksploitasi kerentanan zero-day.
• Tumpang tindih infrastruktur: Symantec mengidentifikasi tumpang tindih dalam server dan alat perintah-dan-kontrol (C2) yang digunakan dalam kampanye sebelumnya yang terkait dengan aktor-aktor yang berbasis di China.
• Viktimologi: Fokus pada Asia Tenggara sejalan dengan kepentingan strategis China di kawasan tersebut, termasuk sengketa teritorial dan inisiatif ekonomi seperti Prakarsa Sabuk dan Jalan (BRI). Meski atribusi definitif dalam serangan siber masih menantang, bobot bukti menunjukkan keterlibatan APT China.

Kampanye spionase menggunakan pendekatan multifaset untuk menembus targetnya. Metode utama meliputi:

• Email spear-phishing: Email phishing yang disesuaikan dengan lampiran atau tautan berbahaya digunakan untuk membahayakan akses awal.
• Eksploitasi kerentanan zero-day: Penyerang memanfaatkan kerentanan perangkat lunak yang belum ditambal untuk menyusup ke sistem tanpa terdeteksi.
• Kompromi rantai pasokan: Dengan menargetkan vendor pihak ketiga atau penyedia layanan, penyerang memperoleh akses tidak langsung ke target utama mereka.
• Penyebaran malware tingkat lanjut: Begitu berada di dalam jaringan, penyerang menyebarkan malware tersembunyi yang mampu menghindari deteksi, mempertahankan persistensi, dan mencuri data sensitif.
   

Laporan Symantec menyoroti penggunaan alat malware khusus seperti "Trojan.Gedscan" dan "Backdoor.Shadowflame," yang dirancang untuk beradaptasi dengan pertahanan unik setiap organisasi yang menjadi target.

Kampanye spionase ini memiliki implikasi yang luas bagi Asia Tenggara dan sekitarnya, termasuk:

• Risiko keamanan nasional: Pelanggaran sistem pertahanan dan pemerintahan menimbulkan ancaman signifikan terhadap keamanan nasional, yang berpotensi mengungkap strategi militer, komunikasi diplomatik, dan intelijen rahasia.
• Dampak ekonomi: Menargetkan industri seperti energi dan telekomunikasi dapat mengganggu infrastruktur penting, yang menyebabkan ketidakstabilan ekonomi dan merusak kepercayaan investor.
• Ketegangan geopolitik: Kampanye ini dapat memperburuk ketegangan regional, terutama dalam konteks sengketa teritorial yang sedang berlangsung di Laut China Selatan dan wilayah strategis lainnya.
• Kekhawatiran keamanan siber global: Operasi ini menyoroti kecanggihan kelompok APT yang terus berkembang dan meningkatnya kebutuhan akan kolaborasi internasional dalam memerangi ancaman siber.

Musuh Siber yang Semakin Canggih

Perihal kampanye spionase berbahaya ini, tim Threat Hunter Symantec memberikan beberapa rekomendasi untuk mengurangi risiko, meliputi peningkatan postur keamanan siber, pembaruan manajemen patch, memastikan keamanan rantai pasokan, penyelenggaraan pelatihan kesadaran karyawan, dan peningkatan kerja sama internasional.

Selama ini, kelompok ancaman persisten tingkat lanjut telah lama menjadi kekuatan signifikan dalam ranah siber. Entitas yang disponsori negara atau memiliki sumber daya besar ini melakukan operasi yang ditujukan untuk spionase, sabotase, atau pencurian data untuk memajukan kepentingan strategis negara mereka.

Fokus pada Asia Tenggara dalam kampanye ini mencerminkan semakin pentingnya geopolitik kawasan tersebut sebagai pusat perdagangan, teknologi, dan posisi militer strategis.

Kelompok APT yang berbasis di China, secara khusus, telah dikaitkan dengan banyak insiden siber yang terkenal sejak satu dekade terakhir.

Aktivitas mereka sering kali sejalan dengan tujuan geopolitik China, termasuk klaim teritorial, ekspansi ekonomi, dan kemajuan teknologi. Kampanye terbaru ini menambah daftar operasi siber yang menargetkan negara dan organisasi yang dianggap penting bagi tujuan ini.

Laporan Symantec berfungsi sebagai peringatan bagi Asia Tenggara dan masyarakat global, menggarisbawahi perlunya kewaspadaan, inovasi, dan kolaborasi dalam menghadapi musuh siber yang semakin canggih.