Sunday, August 9, 2020

Peretas Cina Telah Menjarah Industri Semikonduktor Taiwan. Apa Sajakah yang Mereka Curi?


Dilaporkan Wired, Taiwan telah menghadapi konflik eksistensial dengan darata  Cina untuk seluruh keberadaannya dan telah menjadi sasaran peretas yang disponsori negara Cina selama bertahun-tahun. 

Penyelidikan oleh salah satu perusahaan keamanan Taiwan telah mengungkapkan seberapa dalam satu kelompok peretas Cina mampu menembus industri inti ekonomi Taiwan, praktis menjarah seluruh industri semikonduktornya.

Kampanye bernama Operation Skeleton Key telah mencuri kode sumber, kit pengembangan perangkat lunak, desain chip, dan banyak lagi.

Masih dari sumber yang sama, para peneliti dari perusahaan keamanan siber Taiwan bernama CyCraft berencana untuk mempresentasikan rincian baru dari kampanye peretasan yang membahayakan setidaknya tujuh perusahaan chip Taiwan selama dua tahun terakhir. Serangkaian gangguan mendalam ini disebut Operation Skeleton Key karena penggunaan teknik "skeleton key injector".

CyCraft sebelumnya telah memberi nama kelompok peretas ini Chimera, temuan baru perusahaan tersebut mencakup bukti yang menghubungkan mereka ke daratan Cina dan secara longgar menghubungkan mereka dengan kelompok peretas terkenal Cina yang disponsori negara, Winnti, juga kadang-kadang dikenal sebagai Barium, atau Axiom.

Beberapa korban perusahaan semikonduktor bermarkas di Hsinchu Industrial Park, pusat teknologi di kota Hsinchu, Taiwan Barat Laut.

Bagaimana langkah kerja para peretas Cina ini?

Mengutip media itu, para peneliti menemukan bahwa setidaknya dalam beberapa kasus, para peretas tampaknya mendapatkan akses awal ke jaringan korban dengan mengkompromikan jaringan pribadi virtual, meskipun tidak jelas apakah mereka memperoleh kredensial untuk akses VPN itu atau jika mereka secara langsung mengeksploitasi kerentanan di server VPN.

Para peretas kemudian biasanya menggunakan versi khusus dari alat pengujian penetrasi Cobalt Strike, menyamarkan malware yang mereka tanam dengan memberinya nama yang sama dengan file pembaruan Google Chrome. Mereka juga menggunakan server perintah-dan-kontrol yang dihosting di layanan cloud Google atau Microsoft, membuat komunikasinya lebih sulit untuk dideteksi sebagai anomali.

Dari titik akses awal mereka, para peretas akan mencoba pindah ke mesin lain di jaringan dengan mengakses basis data kata sandi yang dilindungi dengan hashing kriptografi dan mencoba memecahkannya. Kapan pun memungkinkan, analis CyCraft mengatakan, para peretas menggunakan kredensial curian dan fitur sah yang tersedia bagi pengguna untuk bergerak melalui jaringan dan mendapatkan akses lebih lanjut, daripada menginfeksi mesin dengan malware yang mungkin mengungkapkan sidik jari mereka.

Dengan program yang dibuat khusus yang menggabungkan kode dari alat peretasan umum Dumpert dan Mimikatz, peretas akan menambahkan kata sandi tambahan baru untuk setiap pengguna dalam memori pengontrol domain — yang sama untuk setiap pengguna — sebuah trik yang dikenal sebagai injeksi kunci kerangka.

Dengan kata sandi baru itu, peretas akan memiliki akses diam-diam ke mesin di seluruh perusahaan. 


0 comments: