Laporan APT Kaspersky 2019: Kelompok mata-mata siber menghantui intel di Asia Tenggara. Peningkatan kampanye terkait geopolitik menggarisbawahi kebutuhan mendesak akan peningkatan intelijen ancaman di kawasan ini

Kaspersky hari ini membuka kedok kelompok penjahat dunia maya yang beroperasi dan masih beroperasi di Asia Tenggara (SEA). Temuan perusahaan keamanan siber global mengungkapkan tren utama dalam lanskap ancaman Asia Tenggara — peningkatan aktivitas kelompok Advanced Persistent Threat (APT) utama yang melakukan spionase siber canggih.

Haus akan intelijen dan data, 2019 adalah tahun yang sibuk bagi penjahat dunia maya saat mereka meluncurkan alat serangan baru, termasuk memata-matai malware seluler untuk mencapai tujuan mereka mencuri informasi dari entitas dan organisasi pemerintah dan militer di seluruh wilayah.

“Geopolitik adalah salah satu faktor utama yang membentuk lanskap ancaman siber di Asia Tenggara. Sejumlah investigasi kami terhadap serangan APT yang menargetkan wilayah tersebut tahun lalu menunjukkan motivasi serangan utama adalah pengumpulan intelijen ekonomi dan geopolitik. Tak pelak lagi korban utama sebagian besar adalah organisasi pemerintah, entitas diplomatik, dan partai politik,” kata Vitaly Kamluk, Direktur Global Research and Analysis Team (GReAT) Asia Pasifik di Kaspersky.

“Wilayah ini adalah rumah bagi negara-negara dengan etnis, pandangan politik, dan pembangunan ekonomi yang sangat beragam. Hal ini membentuk keragaman serangan siber di Asia Tenggara dan mendorong perlombaan senjata regional. Apa yang umum bagi sebagian besar negara adalah niat untuk mengembangkan kapasitas untuk meluncurkan serangan siber. Kami melihat bagaimana penyerang APT telah menjalankan operasi mereka selama bertahun-tahun, mengembangkan alat yang lebih baik, menjadi lebih berhati-hati dalam atribusi, secara teknis lebih maju dan bersemangat untuk mencapai tujuan yang lebih tinggi,” jelas Kamluk.

Kaspersky selanjutnya berbagi grup APT utama dan jenis malware yang mendefinisikan lanskap ancaman di Asia Tenggara pada 2019 dan hingga 2020.

MaduMyte

(Target di Asia Tenggara: Myanmar, Singapura, Vietnam)

Pada tahun 2019, Kaspersky telah menerbitkan sejumlah laporan mengenai serangan dari aktor ancaman HoneyMyte. Kelompok ini memulai kampanye spearphishing baru pada pertengahan 2018 yang berlanjut hingga 2019 dan menargetkan berbagai organisasi pemerintah dari negara-negara Asia Tengah dan Tenggara dengan korban juga berlokasi jauh di negara dan wilayah lain. Di antara korban jarak jauh ini, Kaspersky telah mendeteksi entitas yang berbasis di Singapura menjadi sasaran gelombang serangan ini.

Organisasi pemerintah Myanmar dan Vietnam juga termasuk di antara target utama HoneyMyte yang menggunakan sampel Lnk berbahaya, PlugX, powershell dan malware .Net.

Mimpi Lucu

(Target di Asia Tenggara: Malaysia, Filipina, Thailand, Vietnam)

Pada awal 2020, Kaspersky telah menerbitkan laporan berdasarkan penyelidikannya terhadap kampanye serangan yang sedang berlangsung yang disebut “FunnyDream”. Aktor berbahasa Mandarin ini telah aktif setidaknya selama beberapa tahun dan memiliki implan yang berbeda dengan berbagai kemampuan.

Sejak pertengahan 2018, para peneliti di Kaspersky melihat aktivitas tinggi yang berkelanjutan dari aktor ancaman ini dan di antara target mereka adalah sejumlah organisasi pemerintah tingkat tinggi serta beberapa partai politik dari berbagai negara Asia termasuk Filipina, Thailand, Vietnam, dan Malaysia.

Kampanye ini terdiri dari sejumlah alat spionase cyber dengan berbagai kemampuan. Pada pemantauan terbaru dari perusahaan cybersecurity global, serangan spionase FunnyDream masih berlangsung.

Pengguna Kaspersky Threat Portal memiliki akses ke informasi terbaru tentang aktor ini.

platina

(Target di Asia Tenggara: Indonesia, Malaysia, Vietnam)

Platinum adalah salah satu aktor APT yang paling maju secara teknologi dengan fokus tradisional di kawasan Asia Pasifik (APAC). Pada tahun 2019, para peneliti Kaspersky telah menemukan Platinum menggunakan backdoor baru yang dijuluki sebagai “Titanium”, dinamai sesuai kata sandi ke salah satu arsip yang dapat dieksekusi sendiri.

Titanium adalah hasil akhir dari urutan tahap menjatuhkan, mengunduh, dan menginstal. Malware bersembunyi di setiap langkah dengan meniru perangkat lunak umum — terkait perlindungan, perangkat lunak driver suara, alat pembuatan video DVD.

Entitas diplomatik dan pemerintah dari Indonesia, Malaysia, dan Vietnam diidentifikasi di antara korban backdoor canggih baru yang ditemukan dari aktor Platinum ini.

Cycldek

(Target di Asia Tenggara: Laos, Filipina, Thailand, Vietnam)

Grup APT lain yang menargetkan negara-negara Asia Tenggara pada tahun 2019 adalah aktor berbahasa Mandarin bernama “Cycldek”. Meskipun target utama kegiatan baru Cycldek menunjukkan pijakan yang luas di jaringan pemerintah di Vietnam dan Laos, Kaspersky juga mengamati 3% dari target kelompok berasal dari Thailand. Perusahaan keamanan siber global juga telah mengidentifikasi satu korban di Filipina selama gelombang serangan 2018-2019.

Cycldeck juga dikenal sebagai Goblin Panda dan terkenal karena melakukan pencurian informasi dan spionase di seluruh sektor pemerintah, pertahanan, dan energi di wilayah tersebut menggunakan varian malware PlugX dan HttpTunnel.

Mata-mata sirip

(Target di Asia Tenggara: Indonesia, Myanmar, Vietnam)

FinSpy adalah spyware untuk Windows, macOS, dan Linux yang dijual secara legal. Ini dapat diinstal di iOS dan Android dengan serangkaian fungsi yang sama yang tersedia untuk setiap platform. Aplikasi ini memberi penyerang hampir kontrol penuh atas data pada perangkat yang terinfeksi.

Malware dapat dikonfigurasi secara individual untuk setiap korban dan sedemikian rupa sehingga memberikan dalang serangan dengan informasi rinci tentang pengguna, termasuk kontak, riwayat panggilan, geolokasi, teks, acara kalender, dan banyak lagi. Itu juga dapat merekam panggilan suara dan VoIP, dan mencegat pesan instan.

Ini memiliki kemampuan untuk menguping banyak layanan komunikasi – WhatsApp, WeChat, Viber, Skype, Line, Telegram, serta Signal dan Threema. Selain pesan, FinSpy mengekstrak file yang dikirim dan diterima oleh korban di aplikasi perpesanan, serta data tentang grup dan kontak.

Pada awal 2019, Kaspersky telah melaporkan tentang versi baru implan iOS FinSpy dan kemudian pada tahun ini mendeteksi implan Android baru dari penyedia solusi cyberespionage ini di alam liar dan implan RCS (Remote Control System) lain dari perusahaan lain yang menyediakan solusi cyberespionage.

Menurut telemetri Kaspersky, individu di Indonesia, Myanmar, dan Vietnam ditemukan di antara target kedua jenis malware ini.

Tombak hantu

(Target di Asia Tenggara: Indonesia, Malaysia, Vietnam)

Malware mobile lain yang mempengaruhi beberapa negara di Asia Tenggara adalah PhantomLance, kampanye spionase jangka panjang dengan spyware Trojan untuk Android yang digunakan di berbagai pasar aplikasi termasuk Google Play. Setelah menemukan sampel, Kaspersky telah memberi tahu Google siapa yang telah menghapusnya juga.

RCS (Remote Control System) yang dikembangkan oleh perusahaan penyedia solusi spionase siber ditemukan menargetkan entitas Indonesia, Malaysia, dan Vietnam.

Zebrocy

(Target di Asia Tenggara: Malaysia, Thailand)

Zebrocy adalah APT berbahasa Rusia yang awalnya berbagi infrastruktur, target, dan kepentingan terbatas dengan Sofacy. Zebrocy juga membagikan kode malware dengan BlackEnergy/Sandworm sebelumnya; dan penargetan, dan kemudian infrastruktur yang sangat terbatas dengan BlackEnergy / GreyEnergy yang lebih baru.

Backdoor Nimcy grup yang dikembangkan dalam bahasa pemrograman Nimrod/Nim menargetkan entitas Malaysia dan Thailand. Nimcy adalah tambahan baru untuk koleksi bahasa Zebrocy untuk mengembangkan fungsi utama mereka di backdoors baru.

Di antara semua APT yang disajikan di sini, APT HoneyMyte telah aktif di wilayah ini dan Singapura selama beberapa tahun. Kelompok ini telah mengadopsi teknik yang berbeda untuk melakukan serangannya selama beberapa tahun terakhir, dan telah menargetkan pemerintah di Myanmar, Mongolia, Ethiopia, Vietnam dan Bangladesh, bersama dengan kedutaan asing terpencil yang berlokasi di Pakistan, Korea Selatan, AS, Inggris, Belgia, Nepal, Australia dan Singapura. Tahun lalu, kelompok ini menargetkan organisasi pemerintah yang terkait dengan pengelolaan sumber daya alam di Myanmar dan organisasi utama Afrika kontinental, menunjukkan bahwa salah satu motivasi utama HoneyMyte adalah mengumpulkan intelijen geopolitik dan ekonomi. Sementara kelompok itu menargetkan sebuah organisasi militer di Bangladesh, ada kemungkinan bahwa target individu terkait dengan aktivitas geo-politik di wilayah tersebut.

“Sebagai saluran utama untuk perdagangan global dan diplomasi, Singapura telah membentuk jaringan kemitraan yang kuat dengan negara-negara di seluruh dunia. Ada banyak yang bisa diperoleh dengan menargetkan perusahaan multinasional dan lembaga diplomatik yang telah mendirikan basis operasi mereka di Singapura, dan temuan kami tentang lanskap ancaman di Singapura dan Asia Tenggara tahun lalu mengungkapkan kebutuhan mencolok bagi lembaga publik dan swasta untuk meningkatkan kemampuan keamanan siber mereka. Kelompok penjahat dunia maya seperti yang tercantum di atas menggunakan skema infiltrasi rahasia dan metode serangan, dan langkah-langkah keamanan siber perlu melampaui solusi anti-virus dan firewall yang biasa. Di Kaspersky, kami percaya pada struktur keamanan siber yang didasarkan pada intelijen ancaman yang mendalam dan real-time,” kata Yeo Siang Tiong, General Manager untuk Asia Tenggara di Kaspersky.

“Menggabungkan pembelajaran mesin dan pengetahuan manusia melalui peneliti GReAT kami, kami saat ini memantau lebih dari 100 grup dan operasi APT secara global, terlepas dari asalnya. Laporan organik dan teknis kami memberi perusahaan, pemerintah, dan organisasi non-komersial pandangan komprehensif tentang lanskap ancaman saat ini, yang pada akhirnya memandu mereka dalam memetakan pertahanan mereka dengan lebih baik. Kami juga menganjurkan berbagi informasi di industri, seperti pakta berbagi intelijen yang kami perbarui tahun lalu dengan INTERPOL, karena kami percaya bahwa kerja sama adalah cara terbaik untuk menang melawan kelompok-kelompok spionase dunia maya ini, “tambahnya.

Untuk menghindari menjadi korban serangan yang ditargetkan oleh aktor ancaman yang dikenal atau tidak dikenal, peneliti Kaspersky merekomendasikan untuk menerapkan langkah-langkah berikut:

• Berikan tim Security Operations Center (SOC) Anda akses ke intelijen ancaman terbaru, untuk tetap up to date dengan alat, teknik, dan taktik baru dan baru yang digunakan oleh pelaku ancaman dan penjahat dunia maya.

• Selain mengadopsi perlindungan endpoint penting, menerapkan solusi keamanan tingkat perusahaan yang mendeteksi ancaman tingkat lanjut pada tingkat jaringan pada tahap awal, seperti Kaspersky Anti Targeted Attack Platform.

Tentang Advanced Persistent Threats (APT)

Advanced Persistent Threats (APT) adalah serangan kompleks, yang terdiri dari banyak komponen berbeda, termasuk alat penetrasi (pesan spear-phishing, eksploitasi, dll.), Mekanisme propagasi jaringan, spyware, alat untuk penyembunyian (root/boot kit) dan teknik lain yang seringkali canggih, semuanya dirancang dengan satu tujuan: akses tidak terdeteksi ke informasi sensitif.

APT menargetkan data sensitif apa pun; Anda tidak harus menjadi lembaga pemerintah, lembaga keuangan besar, atau perusahaan energi untuk menjadi korban. Bahkan organisasi ritel kecil memiliki informasi klien yang sensitif dalam catatan; Bank kecil mengoperasikan platform layanan jarak jauh untuk pelanggan dan bisnis dari semua ukuran memproses dan menyimpan informasi pembayaran yang berbahaya di tangan yang salah. Sejauh menyangkut penyerang, ukuran tidak masalah: ini semua tentang informasi. Bahkan perusahaan kecil pun rentan terhadap APT – dan membutuhkan strategi untuk menguranginya.