Terungkap! Cara Hacker China Ambil Alih Komputer Diplomat Indonesia dan Australia

Cyberthreat.id - Pagi 3 Januari 2020. Sebuah email dikirim dari Kedutaan Besar Indonesia di Australia. Yang dituju adalah seorang staf utama Australia Barat yang bekerja di bidang kesehatan dan ekologi. Email itu melampirkan sebuah dokumen Word yang tidak mencurigakan. Sebab, penerima email tahu siapa yang seharusnya mengirim email itu kepadanya.

Belakangan diketahui, lampiran itu berisi alat serangan siber tak terlihat yang disebut 'Aria-body' dan belum pernah terdeteksi sebelumnya.

Kemampuannya cukup mengkhawatirkan. Peretas yang menggunakannya untuk mengambil alih komputer dari jarak jauh dapat menyalin, menghapus, atau membuat file dan melakukan pencarian ekstensif data perangkat. Canggihnya lagi, alat tersebut memiliki cara baru untuk menutupi jejaknya agar tak terdeteksi.

Dilansir The New York Times, Kamis (7 Mei 2020), keberadaan alat itu baru-baru ini terendus oleh Check Point, sebuah perusahaan keamanan siber di Israel. Pelakunya merujuk ke Naikon APT yang sebelumnya telah dilacak terkait ke militer China.

'Naikon APT,' dikenal sebagai salah satu APT paling aktif di Asia hingga 2015, dengan melakukan serangkaian serangan siber di wilayah Asia-Pasifik (APAC) untuk mencari informasi intelijen geopolitik.

APT adalah singkatan dari Advance Persistent Threats. Mereka diyakini beraksi dengan dukungan negara dengan terorganisir dengan baik.

Lima tahun tak terdeteksi gerakannya, ternyata diam-diam Naikon masih beroperasi dan menyebarkan ancaman ke tetangga China di Asia Pasifik.

Dalam temuan Check Point yang dipublikasikan pada Kamis (7 Mei 2020), alat peretasan data itu telah dipakai sebagai senjata sadap jarak jauh. Tidak hanya menyasar kantor Perdana Menteri Australia Barat Mark McGowan, tetap juga ke sejumlah target lain.

Pada bulan-bulan sebelumnya, Naikon menggunakannya untuk meretas lembaga pemerintah dan perusahaan teknologi milik negara di Indonesia, Filipina, Vietnam, Myanmar, dan Brunai.

Check Point menggarisbawahi kecanggihan penggunaan alat itu oleh China terhadap tetangganya di Asia Pasifik.

"Grup Naikon telah menjalankan operasi yang telah berlangsung lama. Mereka telah memperbaharui senjata sibernya berkali-kali, membangun infrastruktur ofensi yang luas dan bekerja untuk menembus banyak pemerintah di Asia Pasifik," kata Lotem Finkelstein, Kepala Ancaman Intelijen di Check Point.

Apa yang membuat serangan ini begitu mengkhawatirkan, menurut Check Point, adalah kemampuan intrusif 'Aria-body'yang merupakan alat baru peretas China itu.

'Aria-body' dapat menembus komputer mana pun yang digunakan untuk membuka file yang dilampirkan di email, lalu dengan cepat membuat komputer mematuhi instruksi peretas, termasuk menyiapkan jalur komunikasi rahasia yaang sulit terdeteksi. Walhasil, data pada komputer yang ditargetkan akan mengalir ke server yang digunakan oleh penyerang atau dikenal dengan server command and control (C2).

Alat itu juga bisa meniru pengetikan yang dilakukan oleh pengguna target, yang berarti jika serangan Australia tidak terdeteksi, alat itu akan memungkinkan siapa pun yang mengendalikannya untuk melihat apa yang ditulis oleh anggota staf di kantor perdana menteri, secara real time.

Pemerintah Australia, yang telah terlibat dalam perdebatan internal yang kontroversial mengenai kekhawatiran tentang campur tangan China, tidak segera menanggapi pertanyaan tentang laporan tersebut.

“Kita tahu bahwa China mungkin merupakan sumber terbesar mata-mata siber yang masuk ke Australia dalam waktu yang sangat lama,” kata Peter Jennings, mantan pejabat pertahanan Australia yang merupakan direktur eksekutif Institut Kebijakan Strategis Australia.

Dihadapkan dengan kritik seperti itu dalam beberapa tahun terakhir, Beijing menyatakan bahwa pihaknya menentang serangan siber dalam bentuk apa pun dan bahwa pemerintah dan militer China tidak terlibat dalam peretasan untuk pencurian rahasia dagang.

Upaya spionase siber oleh China tidak menunjukkan tanda-tanda berkurang dan mungkin meningkat secara global. Bahkan di tengah perselisihan baru-baru ini tentang pandemi virus corona. Para ahli mengatakan tujuannya adalah untuk mencuri sejumlah besar data dari pemerintah dan perusahaan asing.

"Ini mungkin berbeda dalam desain, tetapi semua serangan ini memiliki tujuan yang sama," kata Matthew Brazil, seorang mantan diplomat Amerika dan penulis buku baru tentang spionase Tiongkok, merujuk pada 'Aria-body'.

Menurut Check Point, peretas yang menggunakan Aria-body  itu dapat mengambil alih komputer yang digunakan oleh seorang diplomat Indonesia di kedutaan besar di Canberra, ibukota Australia.

Peretas menemukan sebuah dokumen yang sedang dikerjakan diplomat, menyelesaikannya dan kemudian mengirimkannya kepada anggota staf di kantor perdana menteri Australia Barat. Di email itulah senjata siber bernama 'Aria-body' itu disisipkan dalam bentuk sebuah dokumen Word.

Senjata dunia maya itu terungkapkan karena sebuah kesalahan manusia yang sederhana.

Peretas yang mengirim email mengirimnya ke alamat yang salah. Ketika server di kantor perdana menteri mengembalikannya dengan catatan yang mengatakan alamat emailnya belum ditemukan, transmisi tersebut menimbulkan kecurigaan bahwa ada sesuatu dalam pesan asli yang mencurigakan, tulis penulis laporan Check Point. Itulah yang kemudian mendorong penyelidikan yang mengungkapkan upaya serangan.

Naikon sebelumnya diselidiki oleh perusahaan cybersecurity Amerika, ThreatConnect, yang pada tahun 2015 menerbitkan laporan luas tentang koneksi grup ke People's Liberation Army.

Kelompok peretasan itu tampaknya beroperasi sebagai bagian dari Biro Pengintaian Teknis Kedua militer, Unit 78020, yang sebagian besar berbasis di kota Kunming selatan, menurut ThreatConnect.

Biro ini disebut bertanggung jawab atas operasi siber dunia maya dan spionase teknologi di Asia Tenggara dan Laut Cina Selatan, tempat Beijing terlibat dalam pertikaian teritorial dengan tetangganya.

Sebuah laporan oleh Kaspersky Lab, perusahaan cybersecurity Rusia, menyebut kelompok itu salah satu "ancaman persisten canggih" paling aktif di Asia," sebuah istilah yang sering digunakan para pakar keamanan untuk menggambarkan peretas yang didukung negara yang menjalankan kampanye intrusi jangka panjang.

Setelah laporan 2015 mengungkapkan senjata siber utama Naikon, kelompok itu tampaknya menghilang. Brazil, mantan diplomat, mencatat bahwa Tiongkok sejak itu telah mengatur kembali pasukan mata-mata sibernya, mengalihkan sebagian dari Tentara Pembebasan Rakyat ke Kementerian Keamanan Negara, secara efektif membagi tugas antara intelijen militer dan spionase diplomatik dan ekonomi.

Laporan Check Point menunjukkan bahwa Naikon mungkin tetap aktif, meskipun tidak jelas apakah telah bergeser dari rantai komando militer.

Sejak awal 2019, menurut Check Point,  grup ini telah mempercepat upaya untuk memperluas infrastruktur online-nya. Grup peretasan telah membeli ruang server dari Alibaba, perusahaan teknologi Cina, dan nama domain terdaftar di GoDaddy, sebuah perusahaan hosting web di Amerika.

Dalam satu kasus, Naikon memerintahkan server dari Departemen Sains dan Teknologi Filipina dan menggunakannya untuk membantu menyamarkan asal-usul serangan Naikon, dengan membuatnya seolah-olah itu berasal dari server tersebut.

Grup akan menyusup ke komputer dengan menyembunyikan 'Aria-body' di dokumen Microsoft Word dan file yang menginstal program Microsoft Office.

Apa yang membuatnya sulit ditemukan adalah kemampuannya untuk menyembunyikan dirinya sendiri jauh lebih efektif daripada alat-alat lain semacam itu.

'Aria-body' dapat menempelkan dirinya sebagai parasit pada berbagai jenis file sehingga tidak memiliki pola pergerakan yang teratur. Operator-operatornya dapat mengubah sebagian kodenya dari jarak jauh, sehingga setelah menyerang satu komputer, 'Aria-body' akan terlihat berbeda ketika meretas target berikutnya. Pola-pola seperti itu sering kali merupakan pertanda bagi penyelidik keamanan.

Check Point tidak mengungkapkan semua target yang telah disusupi oleh Naikon, hanya disebutkan termasuk kedutaan besar, kementerian, dan perusahaan milik negara yang berurusan dengan sains dan teknologi.

"Sepanjang penelitian kami, kami menemukan bahwa kelompok iu menyesuaikan diri untuk mencari file spesifik dengan nama-nama di dalam kementerian yang datanya dibobol," kata Finkelstein.

"Fakta ini saja memperkuat pemahaman bahwa ada infrastruktur yang signifikan, pemikiran matang dan pengumpulan intelijen pra-operasi," tambahnya.

Belum diketahui apakah pemerintah Indonesia menyadari telah menjadi target mata-mata peretas China itu.[]