Mengenal Geng-geng Hacker APT Asal China

Cyberthreat.id - Sindikat peretas (hacker) ini dikenal begitu canggih dan terorganisasi dengan baik. Mereka sering dikenal dengan gerombolan advanced persistent threats (APT) yang dicurigai sebagai hacker yang didukung oleh negara.

Di jagat dunia siber, kelompok APT sangat banyak, bahkan memiliki nama-nama alias. Dalam tulisan ini, Cyberthreat.id mengulas ringkas geng hacker APT yang selalu dicurigai berafiliasi dengan China.

Serangan itu beraksi pada akhir Agustus lalu. Sektor-sektor utilitas Amerika Serikat menjadi target. ”Grup peretas yang disponsori negara China APT 10 adalah tersangka paling mungkin untuk serangan utilitas,” demikian Forbes menulis di teras berita.

Serangan itu baru terkuak ke publik setelah laporan peneliti keamanan siber ProofPoint pada 23 September lalu.

Dijuluki LookBack oleh para peneliti keamanan, serangan itu menggunakan teknik email spear-phishing. "Kami melihat kampanye malware LookBack yang menargetkan sektor utilitas di AS," tutur Wakil Presiden Proofpoint Kevin Epstein.

"Kami telah melihat mereka menunjukkan kegigihan dalam menghadapi pengungkapan alat publik dan upaya penargetan yang tidak berhasil," ia menambahkan.

"Dalam kampanye terbaru," Epstein menjelaskan, "kami telah melihat para aktor APT yang bertanggung jawab atas malware LookBack memperbarui teknik phising (makro) mereka mungkin untuk menghindari deteksi. Ini menunjukkan bahwa dari sudut pandang pengembangan alat mereka berusaha untuk meningkatkan dan meningkatkan tingkat keberhasilan kampanye mereka. "

Menurut Proofpoint, serangan terbaru menargetkan setidaknya 17 entitas di sektor utilitas AS antara tanggal 21-29 Agustus lalu. Penyerang mengadaptasi teknik mencampurkan konten yang sah dengan konten berbahaya, lalu menargetkan basis pengguna tertentu dengan pesan yang dapat dipercaya.

APT10 menjadi berita utama awal tahun ini karena mengkompromikan sistem setidaknya sepuluh operator seluler untuk mencuri metadata yang terkait dengan daftar target pengguna yang terhubung ke China, tulis Forbes.

Begitulah, sepak terjang APT 10 baru-baru ini.

Siapa mereka?

Berikut ini sejumlah grup APT yang dicurigai berafiliasi dengan China, menurut Fireye—perusahaan cybersecurity asal California, AS.

• APT 10

Geng ini dikenal pula dengan alias Menupass Team. Target kesukaan: konstruksi dan teknik, penerbangan, perusahaan komunikasi, dan pemerintahaan di AS, Eropa, dan Jepang.

Fireye melacak APT10 sebagai kelompok spionase siber Chin sejak 2009. Malware terkait: haymaker, snugride, bugjuice, dan quasarrat.

APT10 terkenal dengan serangan email spear-phishing.

• APT 12

Dikenal pula dengan nama Calc Team. Biasa menargetkan jurnalis, pemerintah, dan pangkalan industri pertahanan.

Geng ini diyakini oleh Fireye sebagai kelompok spionase siber yang memiliki hubungan dengan Tentara Pembebasan Rakyat Tiongkok (Chinese People’s Liberation Army). Intrusi dan kampanye yang dilakukan oleh grup ini, “sejalan dengan tujuan RRC dan kepentingan pribadi di Taiwan,” tulis Fireye.

Malware yang terkait: riptide, hightide, threbyte, waterspout.

Teknik serangan mengirimkan dokumen exploit melalui email phishing dari akun yang valid, tapi dikompromikan.

• APT 3

Dikenal pula dengan julukan: UPS Team. Target: penerbangan dan pertahanan, konstruksi dan teknik, perusahaan teknologi tinggi, telekomunikasi, dan transportasi.

Fireye menyebut geng ini canggih dalam aksinya dan memiliki riwayat menggunakan exploit berbasis peramban (browser) zero-day (Internet Explorer, Firefox, dan Adobe Flash). Terkenal dengan backdoor (pintu belakang) khusus. Infrastruktur perintah dan kontrol (CnC) geng ini sulit dilacak, kata Fireye, karena tumpang tindih di seluruh kampanye.

Malware terkait: shotput, cookiecutter, sogu.

APT 3 memiliki andalan email phishing yang bersifat generik, hampir tampak seperti email spam.

• APT 16

Sektor yang menjadi sasaran, seperti perusahaan Jepang dan Taiwan yang bergerak di bidang teknologi tinggi, pemerintah, media, dan sektor keuangan.

Geng ini, menurut Fireye, biasanya menyukai isu-isu politik dan media massa. Malware yang terkait dengan grup ini: ironhalo dan elmer. Geng ini biasa dengan email spear-phishing.

• APT 17

Dikenal dengan julukan: Taligator Team dan Deputy Dog. Sasaran kesukaan: pemerintah AS, firma hukum internasional, dan perusahaan teknologi informasi.

Malware yang terkait: blackcoffee. Grup mengambil keuntungan dari kemampuan untuk membuat profil dan memposting di forum untuk menanamkan CnC yang disandikan—untuk digunakan dengan varian malware yang digunakan. Teknik ini dapat mempersulit profesional keamanan jaringan untuk menentukan lokasi sebenarnya dari CnC, dan memungkinkan infrastruktur CnC tetap aktif untuk periode yang lebih lama.

• APT 18

Julukan lain: Wekby. Sasaran: industri penerbangan dan pertahanan, konstruksi dan teknik, pendidikan, kesehatan dan bioteknologi, teknologi tinggi, telekomunikasi, dan transportasi.

Fireye menyebut geng ini cukup minim informasi. Namun, geng ini mengeksploitasi celah zero-day (yang belum ditambal). Malware terkait: Gh0st RAT.

• APT 19

Julukan lain: Codoso Team. Sektor sasaran: firma hukum dan investasi. Malware terkait: beacon dan cobaltstrike. Geng ini menggunakan teknik serangan email phishing. Fireye mendeteksi aksi mereka pada 2017 dan terakhir pada Mei 2019.

• APT 30

Sasaran yang disukai: negara-negara di Asia Tenggara (anggota ASEAN). Fireye mencatat geng ini beraksi sejak 2005. Malware terkait: shipshape, spaceship, flashflood.

Serangannya menggunakan seperangkat alat yang mencakup pengunduh, pintu belakang (backdoor), pengontrol pusat, dan beberapa komponen yang dirancang untuk menginfeksi drive yang dapat mencuri data. APT30 sering mendaftarkan domain DNS-nya sendiri untuk aktivitas malware CnC.

• APT 40

Fireye menyebut geng ini sebagai kelompok mata-mata yang biasanya menargetkan titik strategis negara, seperti pertahanan negara. Mereka menyukai negara-negara di Asia Tenggara.

Sejak 2013, geng ini melakukan kampanye serangan di lembaga maritim, pertahanan, penerbangan, industri kimia, lembaga riset/pendidikan, pemerintah, dan perusahaan teknologi.

Fireye meyakini geng ini berkaitan dengan China yang ingin meningkatkan angkatan laut-nya.

APT40 ditengarai memiliki kaitan dengan malware, seperti badsign, fieldgoal, findlock, photo, scanbox, sogu, dan widetone).

Biasa dengan serangan email spear-phishing yang berpura-pura sebagai tokoh publik, misal sebagai jurnalis, aktivis militer, dan lain-lain.

• APT 41

Fireye mencatat sejak 2012, geng ini menargetkan perusahaan/organisasi di 14 negara. Kampanye spionase kelompok ini menargetkan layanan kesehatan, telekomunikasi, dan sektor teknologi tinggi, dan secara historis termasuk mencuri kekayaan intelektual.

“Intrusi kejahatan dunia maya mereka paling jelas di antara penargetan industri video game, termasuk manipulasi mata uang virtual, dan upaya penyebaran ransomware,” tulis Fireye.

Mereka juga menargetkan, lembaga pendidikan tinggi, perusahaan perjalanan, dan perusahaan media massa, bahkan melacak individu untuk pengintaian.

APT 41 termasuk golongan produktif melakukan kegiatan spionase. Malware terkait: ada 46 keluarga kode dan alat yang berbeda.

Teknik serangan: email spear-phishing dengan lampiran seperti file HTML (.chm) yang dikompilasi untuk awalnya mengkompromikan korban. Begitu masuk ke dalam  jaringan, APT 41 dapat memanfaatkan TTP yang lebih canggih dan menyebarkan malware tambahan.

Misalnya, dalam kampanye yang berjalan hampir setahun, APT 41 mengkompromikan ratusan sistem dan menggunakan hampir 150 potongan malware unik termasuk backdoors, pencuri kredensial, keylogger, dan rootkit. APT 41 juga telah menyebarkan rootkit dan bootkit Master Boot Record (MBR) secara terbatas untuk menyembunyikan malware mereka dan mempertahankan kegigihan pada sistem korban tertentu.