Insiden yang dialami GitHub adalah tontonan publik yang langka dari kekuatan pasukan siber China—padahal biasanya mereka cenderung bergerak di balik layar.
Andi Nugroho | Senin, 20 Januari 2020 - 13:58 WIB
Cyberthreat.id – Akhir Maret 2015 adalah hari-hari pelik bagi karyawan GitHub, perusahaan perangkat lunak di San Fransisco, Amerika Serikat.
Berdiri sejak 2008, GitHub adalah platform bersama dalam pengembangan sebuah perangkat lunak. Sederhananya, GitHub ini mirip halnya media sosial, tapi khusus bagi para pengembang (developer). Di sini, seorang pengembang bisa membagikan kerjanya atau berkolaborasi dengan pengembang di dunia untuk merencanakan proyek atau melacak pekerjaan yang sedang digarap.
Saat ini GitHub telah memiliki lebih dari 20 juta pengguna dan lebih dari 57 juta repositori (direktori penyimpanan file proyek). Pada 2015, nama GitHub baru saja naik daun karena membantu pengembang dalam bekerja.
Keganjilan itu lantaran datang lalu lintas besar, semacam banjir pengunjung, ke repositori GitHub. Temuan itu terdeteksi. GitHub dilanda serangan Distributed Denial of Service (DDoS).
DDoS adalah salah satu penyebab sering turunya sebuah situs web. Penyerang sengaja membanjiri lalu lintas kunjungan agar server menjadi kewalahan karena permintaan yang meluap.
“Kami saat ini mengalami serangan DDoS terbesar dalam sejarah GitHub," tulis pengembang senior di GitHub, Jesse Newlan, di blog pribadinya hampir 24 jam setelah serangan itu dimulai.
Berita Terkait:
Selama lima hari, ketika tim TI sibuk menghalau DDoS selama 120 jam, situs web GitHub turun sembilan kali. Ini semacam orang memenggal Hydra (hewan air tawar kecil tak kasat mata yang bertubuh tabung): setiap tim berhasil mengatasi serangan, justru upaya serangan kembali dalam lipat ganda.
“Ini sesuatu yang belum pernah kami lihat sebelumnya,” tutur salah satu anggota tim GitHub yang menangani insiden itu kepada James Griffiths, wartawan Technology Review.
Menghadapi serangan itu, GitHub tak mau berandai-andai siapa aktor di balik operasi DDoS itu. GitHub tak mau menanggapi sejumlah komentar yang beredar di internet. “Kami yakin maksud dari serangan ini adalah untuk meyakinkan kami, yaitu menghapus konten tertentu,” tutur Jesse.
Mengetahui kejadian itu, pikiran Nicholas Weaver berkecamuk. Ia punya dugaan kuat siapa aktor di balik serangan itu.
Weaver menuding pelakunya ialah China.
Weaver adalah seorang pakar keamanan jaringan dari International Computer Science Institute, sebuah pusat penelitian di Berkeley, California.
Bersama dua peneliti, ia lalu menentukan target serangan: dua proyek ditaruh di GitHub yang terhubung ke GreatFire.org.
GreatFire.org, sebuah organisasi nirlaba yang memantau status situs-situs web yang disensor oleh pemerintah China melalui kebijakan The Great Firewall. Situs web organisasi ini dilabeli oleh Cyberspace Administration of China dengan julukan “organisasi asing anti-China”.
GreatFire telah lama menjadi target serangan DDoS dan peretasan. Inilah alasan Weaver memindahkan beberapa layanannya ke GitHub.
Great Cannon
Ia pun menemukan sesuatu yang baru, tapi juga mengkhawatirkan. Ia menyebut temuan itu dengan sang meriam, “Great Cannon”, sebuah senjata siber China. Dalam makalah yang ditulis bersama peneliti Citizen Lab, ia menemukan bahwa China tidak hanya memblokir bit (bits) dan bita (bytes) data yang mencoba masuk ke China, tapi juga menghalau atau menyalurkan aliran data ke luar China.
Menurut Weaver, operator di balik Great Cannon bisa secara selektif memasukkan kode JavaScript berbahaya ke dalam kueri pencarian dan iklan yang dilayani Baidu, mesin pencari terkenal di China.
Kode-kode berbahaya itu mengarahkan sejumlah besar lalu lintas ke target sang meriam. Dengan mengirimkan sejumlah permintaan ke server tempat sang meriam mengarahkan lalu lintas, para peneliti pun dapat mengumpulkan bagaimana perilakunya dan mendapatkan wawasan tentang cara kerja sang meriam.
“Meriam itu juga dapat digunakan untuk serangan malware lain selain serangan penolakan layanan. Itu adalah alat baru yang kuat: menyebarkan Great Cannon adalah perubahan besar dalam taktik, dan memiliki dampak yang sangat terlihat," Weaver dan rekannya menggambarkan tentang cyberweapon tersebut.
Taktik Weaver dan rekannya ternyata terjadi. Serangan itu berlangsung selama berhari-hari dan mereka pun mengamati karakteristik serangan.
Sejak itu, timbul pertanyaan: mengapa China melakukan hal itu secara terbuka seperti itu? Weaver berkomentar, “Ini sungguh berlebihan. Mereka terus menyerang setelah lama (sistem) berhenti bekerja,” kata dia.
Tampaknya, tulis wartawan James Griffiths, ada pesan yang ingin disampaikan oleh arsitek Great Firewall melalui serangan meriam itu.
“Setelah berhasil ‘mengendalikan internet dalam negeri’, mereka membidik di luar negeri [...] dari mana pun mereka berasal,” tulis James.
Insiden yang dialami GitHub adalah tontonan publik yang langka dari kekuatan pasukan siber China—padahal biasanya mereka cenderung lebih suka menggunakan kemampuan di belakang layar.[]
Melalui investigasi di Dharamsala, tim Lab Citizen melihat bahwa malware yang menargetkan warga Tibet berkomunikasi dengan server yang berbasis di Hainan China.
Andi Nugroho | Senin, 20 Januari 2020 - 14:15 WIB
Cyberthtreat.id – Moncong serangan siber itu diarahkan ke Tibet, salah satu provinsi di China dan daerah otonomi khusus yang berada di pegunungan Himalaya.
Bertahun-tahun, wilayah yang dipimpin oleh seorang raja bergelar Dalai Lama (kini ke-14) awalnya tetutup dan sangat jarang diketahui publik. Tibet dicaplok China pada era 1950. Dalai Lama pun dilengserkan. Konflik pun memanas bertahun-tahun. Sampai akhirnya, awal 2000-an, Tibet memutuskan untuk bergabung dengan China.
Internet baru masuk Tibet antara 1996-1997 dan penggunaan situs web mulai merambat cepat pada 1998. Pada 2013, warga Tibet yang telah menggunakan internet mencapai 2,03 juta orang dari total penduduk 3 juta jiwa.
Namun, kepopuleran internet menjadi simalakama. Pemerintah China, tulis James Griffiths, wartawan Technology Review, justru mengirim pesan amarah.
Seorang diaspora Tibet yang menyeberang ke wilayah yang dikuasai China ditahan di perbatasan dan diinterogasi. Jika mereka menolak terlibat dalam politik, email mereka disodorkan sebagai bukti, tulis James.
James menceritakan dalam tulisannya 10 Januari lalu, “When Chinese hackers declared war on the rest of us”, ada seorang wanita yang berusaha menjangkau Dharamsala, tapi dihentikan oleh polisi China.
Wanita itu menerima dana program untuk ke Dharamsala dari Voice of America yang didukung oleh pemerintah AS; ia harus menyeberang ke Tibet dari Nepal. Polisi China menyetop langkahnya dengan menyodorkan bukti cetakan komunikasi pribadinya dengan orang-orang Tibet.
Berita Terkait:
Lain lagi, seorang wanita, sarjana AS yang tinggal di Beijing, China, menerima undangan “minum teh” dengan pejabat keamanan karena aktivitasnya yang sensitif. Saat dimintai email, ia memberi petugas keamanan sebuah akun email yang tak digunakan; dua hari kemudian, seseorang berusaha meretas alamat email itu.
Dharamsala, sebuah kota di bagian utara India, yang dijadikan tempat oleh Dalai Lama mengungsi pada 1959. Daerah ini sekarang menjadi pusat komunitas pengasingan orang-orang Tibet.
Adalah Greg Walton, peneliti lapangan Citizen Lab--lembaga riset dan pengembang perangkat lunak asal Toronto, Kanada--yang telah berkunjung ke daerah itu sekitar akhir1990-an dan awal 2000-an, salah satu orang yang memperluas jangkauan internet ke Tibet.
Ia meneruskan jejak yang sudah dilakukan oleh dua perintis internet Tibet sebelumnya, Dan Haig dan Thubten Samdup; dua orang inilah yang menghubungan Dharmasala ke dunia internet (world wide web). Padahal ketika itu, India nyaris belum terhubung seperti sekarang.
Kerja Walton kala itu membangun sebuah situs web untuk sejumlah LSM dan departemen pemerintah, mengajar kelas komputer, dan membantu orang-orang membuat email.
Yang jelas, internet kemudian cepat menguasai Dharamsala. Tak terlintas saat itu bagi Walton untuk memperhatikan sisi keamanan.
Cerita berlanjut dan suatu ketika, tulis James, di Dharamsal, komputer-komputer nonaktif oleh malware agresif yang dirancang bukan untuk memata-matai, tapi sabotase.
“Jelas seseorang mengincar orangTibet,” tulis James.
“Semua tanda menunjuk ke China, tetapi sumber operasi tidak jelas. Apakah orang-orang Tibet menjadi sasaran oleh dinas keamanan, oleh militer, oleh apa yang disebut ‘peretas patriotik’ atau kombinasi ketiganya?” ia menambahkan.
Walton pun bergerak bersama pakar keamanan siber Tibet, Lobsang Gyatso Sither; lahir di Dharamsala pada 1982, ia generasi buangan yang belum pernah tinggal di Tibet.
Sither belajar komputer di India dan Inggris dan baru bertemu Walton di London sekitar 2000-an karena menyelidiki tentang penargetan warga Tibet.
Keduanya bekerja meneliti serangan siber yang menargetkan Tibet. Awal-awal, tulis James, serangan tidak begitu canggih; hanya bermodal email bahasa Inggirs dan mendorong pengguna menjalankan file untuk dieksekusi.
Namun, sejak keduanya mengumpulkan lebih banyak sampel kampanye serangan, “seluruh komunitas menjadi target meski sebagian sebesar tidak terlalu menarik bagi peretas,” kata Sither.
Bahkan, individu yang tidak terkait langsung dengan target utama juga diintai peretas; kalau-kalau memiliki mata rantai ke target utama.
Temuan malware
“Ketika kampanye digencarkan kepada orang-orang Tibet agar tidak membuka lampiran email, dan sebagai gantinya mengandalkan layanan berbasis cloud seperti Google Drive untuk berbagi dokumen, malware baru dengan cepat muncul,” tulis James.
Sementara itu, di sebuah ruangan loteng di Universitas Toronto, Nart Villeneuve sibuk di komputernya. Ia tak percaya apa yang dilihatnya.
Nart adalah mahasiswa pascasarjana di kampus itu dan peneliti di Citizen Lab. Tugas dia adalah melacak kelompok mata-mata canggih yang menyusup ke komputer, akun email, dan server di seluruh dunia.
Dan, Nart menemukan server perintah dan kontrol (C2) untuk malware yang menyebar luas di internet.
Sebelum Nart menemukan itu, dalam proses penyelidikan berulan-bulan, timnya hanya mampu melacak target kampanye malware, bukan penyerang itu sendiri. Kini, Nart bisa melihat dengan tepat apa yang dilakukan penyerang di komputer korban.
“Senjata utama dalam toolkit peretas adalah satu bagian malware, yang awalnya dikembangkan oleh programmer China dan kemudian diangkut ke dalam bahasa Inggris, yang disebut Gh0st Remote Administration Tool, atau Gh0st Rat,” tulis James dalam laporan panjangnya.
Melalui investigasi di Dharamsala, tim Lab Citizen dapat melihat bahwa malware yang menargetkan warga Tibet berkomunikasi dengan server yang berbasis di Hainan, sebuah pulau di China selatan.
Peretasan tersebut menargetkan para pejabat militer, legislator, jurnalis, dan ratusan lainnya di Dharamsala, di seluruh India, dan di tempat lain di Asia, yang semua aktivitasnya diawasi oleh para peretas.
"Hampir pasti," tulis tim Citizen Lab dalam laporannya yang dikutip James.
“Dokumen-dokumen dihapus tanpa sepengetahuan korban, penekanan tombol (keystroke) dicatat, kamera web diakses secara diam-diam, dan input audio diaktifkan secara diam-diam."
Sementara tim Citizen Lab tidak dapat mengatakan secara pasti siapa yang ada di belakang peretasan, laporan itu menyimpulkan bahwa kemungkinan besar "serangkaian target profil tinggi ini telah dieksploitasi oleh negara China untuk tujuan militer dan intelijen strategis".[]
Serangan siber yang dialami oleh GitHub dan warga Tibet adalah sebagian kecil dari operasi kekuatan siber China.
Andi Nugroho | Senin, 20 Januari 2020 - 15:30 WIB
Cyberthreat.id – Serangan siber yang dialami oleh GitHub dan warga Tibet adalah sebagian kecil dari operasi kekuatan siber China.
Mereka adalah korban front baru dalam perang China di internet, tulis James Griffiths, wartawan Technology Review, dalam laporan panjangnya berjudul “When Chinese hackers declared war on the rest of us” yang terbit 10 Januari 2020.
Menurut James, serangan siber China tak cuma itu. Pada Desember 2019 dilaporkan bahwa peretasan jaringan internasional Hotel Marriott pada 2014 dilakukan oleh aktor asal China.
Pada 2018, Marriott juga sempat bermasalah dengan pemerintah China lantaran mencantumkan Tibet dan Hong Kong sebagai negara yang terpisah di formulirnya. Situs web Marriott pun diblokir oleh China dan perusahaan akhirnya meminta maaf atas kesalahan memalukan itu.
Masih banyak lagi serangan yang kemungkinan belum diketahui secara publik, karena perusahaan-perusahaan yang menjadi korban menyimpan masalah itu; dengan harapan tidak merusak hubungan (bisnis) dengan China.
Begitulah sensitifnya sensor internet di China saat ini—jauh dari impian Pendiri Republik Rakyat China Mao Zedong di masanya ketika mengendalikan pengawasan negara.
Pusat kendali
Setelah berbulan-bulan melakukan investigasi, Nart Villeneuve tak percaya apa yang dilihatnya. Ia menemukan server perintah dan kontrol (C2) untuk malware yang menyebar luas di internet.
Nart adalah mahasiswa pascasarjana di Universitas Toronto dan peneliti di Citizen Lab, lembaga riset dan pengembang perangkat lunak asal Toronto, Kanada. Tugas dia adalah melacak kelompok mata-mata canggih yang menyusup ke komputer, akun email, dan server di seluruh dunia.
Sebelum Nart menemukan itu, timnya hanya mampu melacak target kampanye malware, bukan penyerang itu sendiri. Kini, Nart bisa melihat dengan tepat apa yang dilakukan penyerang di komputer korban.
Melalui investigasi mereka di Dharamsala, tim Lab Citizen dapat melihat bahwa malware yang menargetkan warga Tibet berkomunikasi dengan server yang berbasis di Hainan, sebuah pulau di China selatan.
Dharamsala adalah sebuah kota di bagian utara India, yang dijadikan tempat oleh Dalai Lama mengungsi pada 1959. Daerah ini sekarang menjadi pusat komunitas pengasingan orang-orang Tibet.
Berita Terkait:
Peretasan yang dikendalikan dari Hainan tersebut menargetkan para pejabat militer, legislator, jurnalis, dan ratusan lainnya di Dharamsala, di seluruh India, dan di tempat lain di Asia, yang semua aktivitasnya diawasi oleh para peretas, tulis James.
Laporan tim Nart dkk mencapai kesimpulan, bahwa “pulau Hainan menjadi tuan rumah fasilitas sinyal intelijen Lingshui dan sebuah divisi dari Departemen Teknis Ketiga Tentara Pembebasan Rakyat (People’s Liberation Army/PLA), mitra China untuk Badan Keamanan Nasional,” tulis James.
GhostNet, julukan yang diberikan tim Citizen Lab kepada grup peretas, adalah tanda-tanda paling awal dari dugaan kemampuan peretasan PLA.
PLA dikenal dengan pekerjaan spionase siber. Pada Februari 2013, Mandiant, perusahaan keamanan siber milik FireEye, mengungkapkan salah satu unit spionase China, yaitu Unit 61398. Grup ini disebut FireEye sebagai APT1, bagian dari PLA yang memiliki kekuatan operasi siber yang menargetkan perusahaan swasta AS. FireEye menyebut unit tersebut tidak hanya bekerja mendapatkan akses ke server atau sistem, tapi mempertahankan diri akses berkelanjutan.
PLA pernah dituding sebagai biang keladi peretasan Office of Personalia Management (OPM) AS—kantor Manajemen Personalia AS yang mengelola PNS-nya AS. Peretas mengkompromikan data pribadi hingga 18 juta baik pegawai yang masih aktif, mantan pegawai, dan calon pegawai.
Peretasan itu terjadi pada Juni 2015. Beberapa bulan kemudian, Presiden AS Barack Obama menjamu pemimpin Cina Xi Jinping di Gedung Putih, di mana kedua orang itu menandatangani perjanjian bilateral, isinya: “bahwa pemerintah kedua negara tidak akan melakukan atau secara sadar mendukung pencurian yang dimungkinkan oleh pencurian dunia maya atas kekayaan intelektual, termasuk rahasia dagang atau informasi rahasia lainnya.”
”Kesepakatan itu merupakan kemenangan diplomatik besar bagi Obama ketika ia mendekati akhir masa jabatan keduanya,” tulis James.
Tetap melawan
Sementara peretas terus menargetkan komunitas pengasingan Tibet, dan mereka yang memiliki hubungan intim dengan Tibet mencoba melawan serangan itu.
Di ruang kelas dan ruang pertemuan di Dharamsala, pakar keamanan siber Tibet, Lobsang Gyatso Sither dan pakar keamanan lainnya melakukan lokakarya tentang enkripsi e-mail, aplikasi pengiriman pesan yang aman, dan cara-cara lain untuk tetap aman saat online.
Sither lahir di Dharamsala pada 1982; ia generasi buangan yang belum pernah tinggal di Tibet. Sither belajar komputer di India dan Inggris dan baru bertemu Greg Walton di London sekitar 2000-an karena menyelidiki tentang penargetan warga Tibet.
Greg Walton adalah peneliti lapangan Citizen Lab yang telah berkunjung ke Tibet sekitar akhir1990-an dan awal 2000-an, salah satu orang yang memperluas jangkauan internet ke Tibet. Keduanya bekerja meneliti serangan siber yang menargetkan Tibet.
Sither dkk bekerja dengan cara yang umum dalam menanggapi ancaman siber, tapi di antara mereka juga ada rasa ketakutan. Andaikata akun-akun email mereka diretas, itu sama saja memengaruhi nasib mereka dari intaian pemerintah China—bisa jadi ada sesuatu yang disembunyikan dari pemerintah China di akun-akun tersebut meski mereka bersikeras “tak menyembunyikan informasi apa-apa”.
"Kami mencoba menemukan keseimbangan antara keamanan dan tidak membuat orang terlalu takut. Terkadang ini sebuah tantangan," kata Sither.[]