FireEye mengatakan APT41 menargetkan 75 organisasi dari sejumlah industri yang berbeda, di antaranya telekomunikasi, kesehatan, pemerintah, pertahanan, keuangan, petrokimia, manufaktur, dan transportasi. Kelompok itu juga menargetkan organisasi nirlaba, hukum, real estate, perjalanan, pendidikan, dan media.
Melansir Tech Radar, peneliti FireEye menjelaskan bahwa aktivitas kelompok tersebut merupakan salah satu kampanye spionase online paling luas yang pernah terjadi.
"Kegiatan ini adalah salah satu kampanye paling luas yang kami saksikan dari para pelaku spionase Tiongkok dalam beberapa tahun terakhir," ujar laporan FireEye. Sementara APT41 sebelumnya telah melakukan kegiatan dengan entri awal yang luas dan eksploitasi ini berfokus pada sekelompok pelanggan kami, dan tampaknya mengungkapkan tempo operasional yang tinggi dan persyaratan pengumpulan yang luas untuk APT41."
Para peneliti mengatakan APT41 menggunakan kerentanan pada Aplikasi Pengiriman Pengendali (ADC) Citrix, router Cisco, dan Zoho ManageEngine Desktop Central dalam meluncurkan serangan pada organisasi yang ditargetkan.
Kerentanan Citrix diketahui telah diumumkan kepada publik sebulan sebelum spionase APT41 dimulai. Sedangkan kerentanan eksekusi kode jarak jauh zero-dayi di Zoho ManageEngine Desktop Central diungkapkan hanya tiga hari sebelum kelompok peratas China itu memanfaatkan kelemahan keamanan.
Meskipun tidak memiliki salinan malware yang digunakan APT41 saat memata-matai router Cisco, FireEye percaya bahwa APT41 merancang malware custom (buatan sendiri) untuk meluncurkan serangan terhadap mereka.
FireEye pertama kali memberi nama pada kelompok peretasan China tahun lalu, tetapi APT41 telah melakukan spionase yang disponsori negara beberapa waktu belakangan.Dalam sebuah pernyataan, FireEye menjelaskan bahwa motif di balik kampanye terbaru APT41 tidak diketahui. Namun, mereka menduga spionase berkaitan dengan hubungan dagang antara China dengan Amerika Serikat yang memanas hingga saat ini.
"Berdasarkan visibilitas kami saat ini, sulit untuk mengaitkan motif atau maksud kegiatan dengan APT41. Ada beberapa penjelasan yang mungkin menjadi alasan peningkatan aktivitas, di antaranya perang dagang antara Amerika Serikat dan Cina, serta pandemi Covid-19 yang mendorong China mengintai perdagangan, perjalanan, komunikasi, manufaktur, penelitian, dan hubungan internasional," kutip FireEye.
Melansir CSO Online, APT41 adalah aktor spionase siber canggih yang disponsori China dan telah beroperasi sejak 2012. Tindakan yang dilakukan oleh APT41 tampak selaras dengan rencana pembangunan ekonomi lima tahun China.
Dikenal sebagai Barium atau Winnti, APT41 telah terlibat dalam pengumpulan intelijen strategis dari organisasi di banyak sektor.
Selain itu, mereka juga melancarkan serangan dengan motif finansial yang sebagian besar menargetkan industri game online. Beberapa ahli percaya bahwa APT41 beroperasi sebagai kontraktor dan memiliki banyak tim dengan tujuan yang berbeda.
Di masa lalu, APT41 memiliki spesialisasi dalam serangan rantai pasokan perangkat lunak. Grup ini meretas ke lingkungan pengembangan perangkat lunak dari beberapa vendor perangkat lunak dan menyuntikkan kode berbahaya ke alat yang disetujui secara digital untuk didistribusikan ke pelanggan melalui saluran distribusi perangkat lunak normal.
Peneliti FireEye menyarankan perusahaan melakukan mitigasi sesegera mungkin agar tidak kembali disusupi oleh APT41. Sistem yang rentan juga harus diisolasi internet atau digunakan secara offline. APT41 diketahui pernah menyerang CCleaner hingga ShadowPad. (jps/mik)
No comments:
Post a Comment