TRIBUNNEWS.COM, JAKARTA - Pada bulan Februari 2016, menindaklanjuti peringatan dari mitra perusahaan, Global Research and Analysis Team (GReAT), Kaspersky Lab mulai melakukan sebuah investigasi.

Dengan cepat GReAT berhasil menemukan adanya sebuah kelompok hacker, kemungkinan beroperasi dari India, yang telah melakukan aktivitas spionase cyber agresif di kawasan Asia, menargetkan beberapa entitas diplomatik dan pemerintahan khususnya berfokus pada Cina serta segala urusan internasional yang berkaitan dengan negara tersebut.

Kelompok ini hanya berbekal eksploitasi usang dan peralatan yang tidak begitu canggih sebagai persenjataan mereka, mereka juga mencoba untuk melakukan serangan kepada para target berprofil penting di negara-negara barat.

Modus operandi "Dropping Elephant" (juga dikenal sebagai "Chinastrats") hampir tidak bisa dikatakan canggih. Para penyerang sangat bergantung pada social engineering serta peralatan dan eksploitasi malware berbudget rendah. Namun, cara ini tampaknya cukup efektif, sehingga membuat kelompok hacker ini menjadi salah satu yang berbahaya.

Dari November 2015 hingga Juni 2016, kelompok hacker ini melakukan profiling ratusan hingga ribuan target di seluruh dunia. Tidak hanya itu, dalam beberapa bulan pertama operasi mereka berhasil mencuri dokumen dari setidaknya beberapa lusin korban yang telah mereka targetkan sebelumnya.

Peralatan: Sederhana, Tetapi Efektif

Untuk profiling target tahap awal, Dropping Elephant mengirimkan e-mail massal ke sejumlah alamat e-mail yang telah mereka kumpulkan berdasarkan relevansi target terhadap tujuan mereka. E-mail spear-phishing yang dikirim oleh penyerang berisi referensi ke konten yang dikontrok dari jauh - tidak terlampir dalam e-mail itu sendiri, tapi diunduh dari sumber eksternal.

E-mail tidak memiliki payload berbahaya, kecuali sederhana permintaan "ping" yang dikirimkan ke server penyerang jika target membuka e-mail. Hal ini secara otomatis mengirimkan pesan yang berisi beberapa informasi dasar tentang penerima seperti alamat IP, jenis browser dan  perangkat yang digunakan serta lokasinya.

Setelah menggunakan metode sederhana ini untuk menyaring target mana yang paling berharga, para penyerang kemudian melanjutkan dengan langkah selanjutnya, yaitu e-mail spear-phishing yang dikhususkan.

Cara ini menggunakan dokumen Word dengan exploit CVE-2012-015 atau slide PowerPoint dengan exploit untuk kerentanan CVE-2014-6352 pada Microsoft Office. Keduanya merupakan exploit yang umum dan telah dikenal untuk waktu yang lama, tapi masih efektif.

Beberapa korban yang menjadi target mendapat serangan watering hole: mereka menerima link ke website yang menyamar sebagai portal berita politik, berfokus pada urusan eksternal Cina. Mayoritas link di website ini mengarah pada konten tambahan dalam bentuk PPS (PowerPoint Slide) dengan payload berbahaya di dalamnya. 

Meskipun kerentanan yang digunakan dalam serangan itu telah ditambal oleh Microsoft, para penyerang masih bisa mengandalkan trik social engineering untuk meretas target mereka apalagi jika mereka mengabaikan beberapa peringatan keamanan yang ditampilkan dan setuju untuk mengaktifkan fitur berbahaya dalam dokumen.

Adapun konten dari PPS berbahaya tersebut berisi artikel berita asli yang dipilih dengan cermat, menampilkan topik geopolitik yang banyak dibahas, sehingga membuat dokumen terlihat dapat dipercaya dan cenderung untuk dibuka. Hal ini menyebabkan banyak target menjadi terinfeksi.

Setelah sukses mengeksploitasi kerentanan, kemudian berbagai alat berbahaya diinstal pada mesin korban.