Peneliti Temukan Aksi Baru Grup APT20 Bobol Sistem 2FA

Cyberthreat.id – Peneliti Fox-IT, perusahaan keamanan siber asal Belanda, menemukan bukti bahwa APT20—kelompok peretas yang diduga memiliki kaitan dengan pemerintah China—berhasil melanggar otentikasi dua faktor (2FA) dalam serangan baru-baru ini.

Sasaran utama grup tersebut adalah entitas pemerintah dan penyedia layanan terkelola (MSP). Entitas pemerintah dan MSP aktif di bidang-bidang seperti penerbangan, perawatan kesehatan, keuangan, asuransi, energi, dan bahkan sesuatu yang bersifat khusus seperti perjudian dan kunci fisik.

Laporan Fox-IT yang diterbitkan pekan lalu tersebut menunjukkan “aktivitas baru” APT20. Grup tersebut aktif pada 2011, tapi jejaknya menghilang pada 2016-2017 ketika mereka mengubah mode operasi mereka.

Fox-IT mengaku telah mendokumentasikan aktivitas mereka selama dua tahun terakhir dan bagaimana mereka melakukannya.

Menurut peneliti, peretas menggunakan server situs web sebagai titik awal masuk ke sistem target, dengan fokus khusus pada JBoss—platform aplikasi perusahaan yang dikembangkan oleh JBoss, kini oleh Red Hat, dan sering ditemukan di jaringan perusahaan besar dan pemerintahan negara maju.

“APT20 menggunakan kerentanan pada aplikasi itu untuk mendapatkan akses ke server, memasang cangkang web, dan kemudian menyebar secara lateral melalui sistem internal korban,” tulis peneliti seperti dikutip ZDNet, Senin (23 Desember 2019).

Fox-IT mengatakan ketika berhasil menginterupsi, grup APT20 akan menghapus kata sandi dan mencari akun administrator untuk memaksimalkan akses mereka. Perhatian utama peretas yaitu memperoleh kredensial jaringan pribadi virtual (VPN).

“Sehingga peretas dapat meningkatkan akses ke area yang lebih aman dari infrastruktur korban, atau menggunakan akun VPN sebagai backdoor yang lebih stabil,” ZDNet melaporkan.

Fox-IT mengatakan, secara keseluruhan aktor serangan tersebut mampu bertahan di bawah radar anti-malware atau virus. Mereka melakukannya dengan menggunakan alat yang sah yang sudah diinstal pada perangkat yang diretas, daripada mengunduh malware buatan mereka sendiri karena bisa dideteksi oleh perangkat lunak keamanan lokal.

Yang membuat peneliti Fox-IT terkejut adalah adanya bukti bahwa grup tersebut terhubung ke akun VPN yang dilindungi oleh 2FA.

“Bagaimana mereka melakukannya masih belum jelas meskipun tim Fox-IT memiliki teori,” tulis ZDNet.

Dugaan peneliti begini: APT20 mencuri token perangkat lunak RSA SecurID dari sistem yang diretas, yang kemudian digunakan oleh penyerang di komputernya untuk menghasilkan kode satu kali yang valid dan membobol 2FA.

“Biasanya, ini tidak mungkin dilakukan. Untuk menggunakan salah satu token perangkat lunak ini, pengguna perlu menghubungkan perangkat fisik (perangkat keras) ke komputer mereka,” tulis ZDNet.

“Perangkat dan token perangkat lunak kemudian akan menghasilkan kode 2FA yang valid. Jika perangkat itu hilang, perangkat lunak RSA SecureID akan menghasilkan kesalahan.”

Fox-IT mengatakan dapat menyelidiki serangan APT20 karena mereka diminta oleh salah satu perusahaan yang diretas untuk membantu menyelidiki dan menanggapi peretasan tersebut.

Lebih lanjut tentang serangan ini dapat ditemukan dalam laporan bernama "Operasi Wocao” . Dalam bahasa gaul China, “wocao” memiliki arti "omong kosong" atau "sial".