BlackTech, Grup Hacker China Targetkan Perusahaan AS dan Jepang
Cyberthreat.id - Badan-badan keamanan siber dari Jepang dan Amerika Serikat memperingatkan akan adanya serangan yang dilakukan kelompok hacker China.
Kelompok tersebut secara diam-diam mengutak-atik router cabang dan menggunakannya sebagai titik awal untuk mengakses jaringan berbagai perusahaan di kedua negara.
Serangan tersebut telah dikaitkan dengan aktor siber berbahaya yang dijuluki BlackTech oleh Badan Keamanan Nasional AS (NSA), Biro Investigasi Federal (FBI), Badan Keamanan Siber dan Infrastruktur (CISA), Badan Kepolisian Nasional Jepang (NPA), dan Badan Keamanan Infrastruktur Jepang (NPA), serta Pusat Kesiapan Insiden dan Strategi Nasional untuk Keamanan Siber (NISC).
“BlackTech telah menunjukkan kemampuan dalam memodifikasi firmware router tanpa deteksi dan mengeksploitasi hubungan kepercayaan domain router untuk beralih dari anak perusahaan internasional ke kantor pusat di Jepang dan Amerika Serikat, yang merupakan target utama,” kata badan-badan tersebut dalam peringatan bersama sebagaimana ditulis The Hacker News.
Disebutkan, Sektor yang menjadi sasaran meliputi sektor pemerintahan, industri, teknologi, media, elektronik, dan telekomunikasi, serta entitas yang mendukung militer AS dan Jepang.
BlackTech, disebut juga dengan nama Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn, dan Temp.Overboard, memiliki sejarah beroperasi terhadap target di Asia Timur, khususnya Taiwan, Jepang, dan Hong Kong setidaknya sejak tahun 2007.
Trend Micro, pada Desember 2015, menggambarkan pelaku ancaman ini memiliki pendanaan yang baik dan terorganisir, serta menyerang vertikal industri utama – yaitu pemerintah, konsumen elektronik, komputer, layanan kesehatan, dan keuangan – yang berlokasi di wilayah tersebut.
Sejak itu telah dikaitkan dengan berbagai bakcdoors seperti BendyBear, BIFROSE (alias Bifrost), Consock, KIVARS, PLEAD, TSCookie (alias FakeDead), XBOW, dan Waterbear (alias DBGPRINT).
Kampanye PLEAD yang didokumentasikan oleh perusahaan keamanan siber tersebut pada bulan Juni 2017 telah melibatkan eksploitasi router yang rentan untuk digunakan sebagai server perintah dan kontrol (C&C).
“Pelaku PLEAD menggunakan alat pemindai router untuk memindai router yang rentan, setelah itu penyerang akan mengaktifkan fitur VPN router kemudian mendaftarkan mesin sebagai server virtual,” kata Trend Micro saat itu.
“Server virtual ini akan digunakan sebagai server C&C atau server HTTP yang mengirimkan malware PLEAD ke target mereka.”
Rantai serangan umum yang diatur oleh pelaku ancaman melibatkan pengiriman email spear-phishing dengan lampiran yang sarat dengan backdoor untuk menyebarkan malware yang dirancang untuk mengambil data sensitif, termasuk pengunduh bernama Flagpro dan backdoor yang dikenal sebagai BTSDoor, diungkapkan PwC pada bulan Oktober 2021, dengan menyatakan bahwa "eksploitasi router adalah bagian inti dari TTP untuk BlackTech."
Awal bulan Juli ini, Mandiant milik Google menyoroti “penargetan router dan metode lain oleh kelompok ancaman Tiongkok untuk menyampaikan dan menyamarkan lalu lintas penyerang baik di luar maupun di dalam jaringan korban.”
Perusahaan intelijen ancaman tersebut selanjutnya mengaitkan BlackTech dengan malware bernama EYEWELL yang terutama dikirimkan ke pemerintah Taiwan dan target teknologi dan yang "berisi kemampuan proksi pasif yang dapat digunakan untuk meneruskan lalu lintas dari sistem lain yang terinfeksi EYEWELL di lingkungan korban."
Seperangkat alat yang luas menunjuk pada kru peretas yang memiliki banyak akal dan membanggakan perangkat malware yang terus berkembang dan upaya eksploitasi untuk menghindari deteksi dan tetap berada di bawah radar untuk waktu yang lama dengan memanfaatkan sertifikat penandatanganan kode yang dicuri dan sumber penghidupan lainnya, teknik tanah (LotL).
Dalam saran terbarunya, CISA dkk menyebut aktor ancaman tersebut memiliki kemampuan untuk mengembangkan malware yang disesuaikan dan mekanisme persistensi yang disesuaikan untuk menyusup ke perangkat edge, sering kali memodifikasi firmware untuk mempertahankan persistensi, mem-proxy lalu lintas, menyatu dengan lalu lintas jaringan perusahaan, dan beralih ke korban lain di jaringan yang sama.
Dengan kata lain, modifikasi jahat pada firmware menggabungkan backdoor SSH bawaan yang memungkinkan operator mempertahankan akses rahasia ke router dengan memanfaatkan paket ajaib untuk mengaktifkan atau menonaktifkan fungsi tersebut.
“Pelaku BlackTech telah menyusupi beberapa router Cisco menggunakan variasi backdoor firmware yang disesuaikan,” kata agensi tersebut.
“Fungsionalitas backdoor diaktifkan dan dinonaktifkan melalui paket TCP atau UDP yang dibuat khusus. TTP ini tidak hanya terbatas pada router Cisco, dan teknik serupa dapat digunakan untuk mengaktifkan pintu belakang pada peralatan jaringan lainnya.”
Cisco, dalam buletinnya sendiri, mengatakan bahwa vektor akses awal yang paling umum dalam serangan ini adalah pencurian atau kredensial administratif yang lemah dan tidak ada bukti eksploitasi aktif terhadap kelemahan keamanan apa pun dalam perangkat lunaknya.
“Perubahan konfigurasi tertentu, seperti menonaktifkan logging dan mengunduh firmware, memerlukan kredensial administratif,” kata perusahaan itu.
"Penyerang menggunakan kredensial yang disusupi untuk melakukan konfigurasi tingkat administratif dan perubahan perangkat lunak."
Sebagai mitigasi, disarankan agar pembela jaringan memantau perangkat jaringan dari pengunduhan bootloader dan gambar firmware yang tidak sah dan melakukan boot ulang serta mewaspadai lalu lintas anomali yang ditujukan ke router, termasuk SSH.[]