Gallium, Geng Hacker Asal China Spesialis di Sektor Komunikasi
Ilustrasi
Cyberthreat.id - Penyedia jaringan telekomunikasi sering memiliki dan mengoperasikan infrastruktur kritis yang terkait dengan komunikasi dan informasi sensitif. Kondisi itu menjadikan penyedia jaringan telekomunikasi sebagai target utama serangan siber atau kegiatan spionase di dunia Maya (cyber espionage).
Baru-baru ini, ISP terbesar di Austria, A1 Telekom, menjadi sasaran serangan spionase tersebut. A1 Telekom kemudian memberikan rincian tentang serangan spionase yang telah terjadi selama enam bulan pada infrastrukturnya.
A1 mengungkapkan infeksi malware terjadi sejak November 2019. Infeksi kemudian terdeteksi oleh tim keamanan internal pada Desember 2019, tetapi butuh lima bulan untuk mendeteksi dan menghapus semua komponen backdoor yang tersembunyi, sekaligus menghentikan intrusi sepenuhnya.
Pelaku yang berhasil menyusup ke dalam sistem diduga sebagai kelompok hacker yang didukung negara-negara (kemungkinan kelompok APT China, Gallium) dengan motivasi finansial. Mereka menembus jaringan melalui cangkang web (web shell) serta berhasil meretas beberapa database dan menjalankan beberapa query (pertanyaan) untuk mendapatkan informasi tentang jaringan internal perusahaan.
Pertanyaan yang diajukan adalah pertanyaan yang sangat spesifik tentang lokasi, nomor telepon, dan data pelanggan lainnya. Terutama terkait dengan beberapa pelanggan A1 dimana sebagian besar data sensitif itu diunduh.
Geng hacker Gallium sudah cukup dikenal karena menargetkan organisasi yang bergerak di sektor telekomunikasi di seluruh dunia. Kelompok jahat ini diyakini telah aktif sejak 2012.
Pada Desember 2019, Microsoft menerbitkan peringatan terhadap sepak terjang grup ini. Microsoft sampai merinci infrastruktur malware kelompok ini yang berbasis di China dan Hong Kong. Menurut ZDNet, Gallium menggunakan hacking tools dan malware berharga murah sekali pakai (disposable) untuk menyerang infrastruktur telekomunikasi.
Grup ini paling aktif antara tahun 2018 dan pertengahan 2019, menargetkan penyedia telekomunikasi dengan menyerang Active Directory. Tujuannya untuk mencuri informasi termasuk data pribadi, catatan keuangan, geolokasi, dan banyak lagi.
Grup ini sebagian besar menggunakan alat pemindaian jaringan open source seperti HTRAN, Mimikatz, NBTScan, Netcat, WinRAR, PsExec, dan Windows Credential Editor. Tujuan untuk menghindari deteksi.
Geng hacker ini juga meretas layanan web yang tidak ditambal seperti WildFly/JBoss kemudian menginstal alat (tools) jahat seperti BlackMould, China Chopper, Poison Ivy, dan QuarkBandit.
Untuk mencegah serangan dari kelompok hacker seperti ini, organisasi/perusahaan harus memastikan server mendapatkan penambalan reguler, penambalan aplikasi, hingga endpoint. Kemudian memelihara log audit untuk mendeteksi aktivitas yang tidak normal.
Pengguna juga disarankan untuk menjalankan layanan web dengan izin sistem operasi (OS) minimum yang dipersyaratkan saja. Kemudian menggunakan deteksi analisis berbasis perilaku dapat membantu mengidentifikasi geng hacker tertentu dengan taktik, teknik, dan prosedur (TTP).
