Peretas yang Disponsori Negara Tanam Bukti Memberatkan di Perangkat Aktivis India

Cyberthreat.id - Perusahaan keamanan siber yang berbasis di California, SentinelOne, merilis laporan investigasi pada hari Rabu yang mengungkap pekerjaan peretas selama satu dekade yang menanamkan bukti yang memberatkan pada perangkat aktivis, pembela hak asasi manusia, jurnalis, akademisi, dan pengacara di India.

Temuan itu terkait bentrokan kekerasan pada 2018 antara kritikus dan pendukung pemerintah di dekat Bhima Koregaon, India, yang meningkatkan ketegangan rasial dan politik negara itu. Menyusul bentrokan tersebut, aparat penegak hukum melakukan razia dan menangkap sejumlah pembangkang, di mana mereka menemukan perangkat yang berisi bukti rencana dan cita-cita terorisme.

Di antara mereka yang didakwa adalah aktivis dan pembela hak asasi manusia, Rona Wilson. Pada tahun 2021, layanan forensik komputer Arsenal Consulting merilis temuan yang menunjukkan komputer Wilson telah disusupi, dan file-file yang memberatkannya ditanam oleh dua kelompok berbeda — kelompok spionase siber yang dikenal sebagai SideWinder dan aktor lain yang dijuluki ModifiedElephant.

Satu kesamaan mencolok antara dua pelaku ancaman yang menjadi perhatian SentinelOne: kedua kelompok itu  infrastruktur peretasan yang sama.

Peneliti keamanan siber telah menganggap ModifiedElephant sebagai kelompok spionase politik yang disponsori negara untuk beberapa waktu dan penyelidikan SentinelOne menambahkan bukti pada teori itu.

"Tujuan ModifiedElephant adalah pengawasan jangka panjang yang terkadang diakhiri dengan pengiriman 'bukti' - file yang memberatkan target dalam kejahatan tertentu - sebelum penangkapan yang terkoordinasi dengan nyaman," kata SentinelOne dalam laporannya seperti dilansir The Record.

Kampanye phishing yang dilakukan oleh aktor ancaman terbukti bukan insiden yang terisolasi, melainkan telah menargetkan ratusan kelompok dan individu setidaknya sejak tahun 2012.

Seperti kebanyakan kelompok spionase dunia maya, taktik ModifiedElephant berkembang dari waktu ke waktu menjadi semakin canggih. Namun, metode utama mereka menggunakan email spearphishing yang berisi lampiran yang kemudian ditanam melalui dokumen Microsoft Office yang telah disusupkan malware jahat.

Laporan lebih lanjut merinci bagaimana pendekatan kelompok berkembang sejak 2013.

Email spearphishing memungkinkan penyerang membuat akun email yang tampaknya sah menggunakan penyedia layanan gratis seperti Yahoo dan Gmail, riwayat penerusan yang panjang, penerima email yang terdaftar, dan kumpulan konten yang dikuratori yang menggunakan kata kunci yang relevan (aktivis, perubahan iklim, berita, dan politik).

Kelompok ini menggunakan malware terkenal seperti NetWire dan DarkComet remote access trojans (RAT).

“Malware yang paling banyak digunakan oleh ModifiedElephant tidak canggih dan biasa-biasa saja, namun terbukti cukup untuk tujuan mereka — memperoleh akses jarak jauh dan kontrol tak terbatas atas mesin korban,” kata laporan itu.

Meskipun SentinelOne tidak dapat menentukan hubungan antara ModifiedElephant dan aktor ancaman lain seperti SideWinder, ada cukup bukti kuat yang menunjukkan tumpang tindih — apakah itu entitas pengendali umum atau keduanya bekerja sama satu sama lain. Ada beberapa contoh di mana target ModifiedElephant juga menjadi target spyware pengawasan seluler. Selain itu, infrastruktur muatan email ModifiedElephant tumpang tindih dengan jaringan spionase yang disebut Operasi Hangover yang mengawasi mereka yang berkepentingan dengan keamanan nasional India.

Temuan dalam laporan tersebut tidak memberikan jawaban pasti tentang apa arti investigasi Rona Wilson dalam skala yang lebih besar, tetapi memperjelas bahwa aktivitas ModifiedElephant dan kepentingan pemerintah India tidak hanya terkait secara kebetulan.

“Masih banyak pertanyaan tentang aktor ancaman ini dan operasi mereka. Namun, satu hal yang jelas: Kritikus terhadap pemerintahan otoriter di seluruh dunia harus dengan cermat memahami kemampuan teknis peretas yang ingin membungkam mereka,” tulis laporan tersebut.[]