Dalam sebuah artikel yang dimuat dalam Ars Technica, Kamis (19/11/2020), berisi penjelasan rinci terkait kejahatan siber itu. Berikut adalah artikel tersebut.
Para peneliti telah menemukan kampanye peretasan besar-besaran yang menggunakan alat dan teknik canggih untuk menyusupi jaringan perusahaan di seluruh dunia.
Para peretas, kemungkinan besar dari kelompok terkenal yang didanai oleh pemerintah China, dilengkapi dengan alat siap pakai dan alat yang dibuat khusus. Salah satu alat tersebut mengeksploitasi Zerologon, nama yang diberikan untuk kerentanan server Windows, yang ditambal pada bulan Agustus, yang dapat memberi penyerang hak istimewa administrator instan pada sistem yang rentan
Symantec menggunakan nama kode Cicada untuk grup tersebut, yang diyakini secara luas didanai oleh pemerintah China dan juga membawa nama APT10, Stone Panda, dan Cloud Hopper dari organisasi penelitian lain. Grup, yang tidak memiliki hubungan atau afiliasi dengan perusahaan mana pun yang menggunakan nama Cicada, telah aktif dalam peretasan bergaya spionase setidaknya sejak 2009 dan hampir secara eksklusif menargetkan perusahaan yang terkait dengan Jepang. Meskipun perusahaan yang ditargetkan dalam kampanye baru-baru ini berlokasi di Amerika Serikat dan negara lain, semuanya memiliki hubungan dengan Jepang atau perusahaan Jepang.
"Organisasi terkait Jepang perlu waspada karena jelas mereka adalah target utama dari grup yang canggih dan memiliki sumber daya yang baik ini, dengan industri otomotif tampaknya menjadi target utama dalam kampanye serangan ini," tulis para peneliti dari perusahaan keamanan Symantec dalam sebuah laporan . "Namun, dengan berbagai industri yang menjadi sasaran serangan ini, organisasi Jepang di semua sektor perlu menyadari bahwa mereka berisiko terhadap aktivitas semacam ini."
Serangan tersebut menggunakan banyak sisi pemuatan DLL, teknik yang terjadi saat penyerang mengganti file pustaka tautan dinamis Windows yang sah dengan yang berbahaya. Penyerang menggunakan pemuatan samping DLL untuk memasukkan malware ke dalam proses yang sah sehingga mereka dapat mencegah peretasan agar tidak terdeteksi oleh perangkat lunak keamanan.
Kampanye tersebut juga menggunakan alat yang mampu mengeksploitasi Zerologon. Eksploitasi bekerja dengan mengirimkan string nol dalam serangkaian pesan yang menggunakan protokol Netlogon, yang digunakan server Windows untuk memungkinkan pengguna masuk ke jaringan. Orang yang tidak memiliki otentikasi dapat menggunakan Zerologon untuk mengakses perhiasan mahkota organisasi — pengontrol domain Active Directory yang bertindak sebagai penjaga gerbang yang sangat kuat untuk semua mesin yang terhubung ke jaringan.
Microsoft menambal kerentanan eskalasi hak istimewa yang kritis pada bulan Agustus, tetapi sejak itu penyerang telah menggunakannya untuk membahayakan organisasi yang belum menginstal pembaruan . Baik FBI dan Departemen Keamanan Dalam Negeri telah mendesak agar sistem segera ditambal .
Di antara mesin yang dikompromikan selama serangan yang ditemukan oleh Symantec adalah pengontrol domain dan server file. Peneliti perusahaan juga menemukan bukti file yang dieksfiltrasi dari beberapa mesin yang disusupi.
Target berasal dari berbagai industri, termasuk:
1. Otomotif, dengan beberapa pabrikan dan organisasi yang terlibat dalam memasok suku cadang ke industri motor juga menjadi sasaran, menunjukkan bahwa ini adalah sektor yang sangat diminati para penyerang
2. Pakaian
3. Konglomerat
4. Elektronik
5. Teknik
6. Perusahaan Perdagangan Umum
7. Pemerintah
8. Produk industri
9. Penyedia Layanan Terkelola
10. Manufaktur
11. Farmasi
12. Layanan profesional
Di bawah ini adalah peta lokasi fisik target:
Symantec menghubungkan serangan tersebut ke Cicada berdasarkan sidik jari digital yang ditemukan di malware dan kode serangan. Sidik jari termasuk teknik kebingungan dan kode shell yang terlibat dalam pemuatan samping DLL serta ciri-ciri berikut yang dicatat dalam laporan tahun 2019 ini dari perusahaan keamanan Cylance:
1. DLL tahap ketiga memiliki ekspor bernama "FuckYouAnti"
2. DLL tahap ketiga menggunakan teknik CppHostCLR untuk menginjeksi dan menjalankan rakitan loader .NET
3. .NET Loader dikaburkan dengan ConfuserEx v1.0.0
4. Muatan terakhir adalah QuasarRAT — backdoor open source yang digunakan oleh Cicada di masa lalu
"Skala operasi juga menunjukkan sekelompok ukuran dan kemampuan Cicada," tulis para peneliti Symantec. “Penargetan beberapa organisasi besar di geografi yang berbeda pada waktu yang sama akan membutuhkan banyak sumber daya dan keterampilan yang umumnya hanya terlihat pada kelompok yang didukung negara-bangsa. Tautan yang dimiliki semua korban ke Jepang juga mengarah ke Cicada, yang diketahui menargetkan organisasi Jepang di masa lalu."
Sumber: Ars Technica
0 comments:
Post a Comment