Cina Diserang Oleh Kelompok Hacker “Dropping Elephant”dari India

TRIBUNNEWS.COM, JAKARTA - Pada bulan Februari 2016, menindaklanjuti peringatan dari mitra perusahaan, Global Research and Analysis Team (GReAT), Kaspersky Lab mulai melakukan sebuah investigasi.

Dengan cepat GReAT berhasil menemukan adanya sebuah kelompok hacker, kemungkinan beroperasi dari India, yang telah melakukan aktivitas spionase cyber agresif di kawasan Asia, menargetkan beberapa entitas diplomatik dan pemerintahan khususnya berfokus pada Cina serta segala urusan internasional yang berkaitan dengan negara tersebut.

Kelompok ini hanya berbekal eksploitasi usang dan peralatan yang tidak begitu canggih sebagai persenjataan mereka, mereka juga mencoba untuk melakukan serangan kepada para target berprofil penting di negara-negara barat.

Modus operandi "Dropping Elephant" (juga dikenal sebagai "Chinastrats") hampir tidak bisa dikatakan canggih. Para penyerang sangat bergantung pada social engineering serta peralatan dan eksploitasi malware berbudget rendah. Namun, cara ini tampaknya cukup efektif, sehingga membuat kelompok hacker ini menjadi salah satu yang berbahaya.

Dari November 2015 hingga Juni 2016, kelompok hacker ini melakukan profiling ratusan hingga ribuan target di seluruh dunia. Tidak hanya itu, dalam beberapa bulan pertama operasi mereka berhasil mencuri dokumen dari setidaknya beberapa lusin korban yang telah mereka targetkan sebelumnya.

Peralatan: Sederhana, Tetapi Efektif

Untuk profiling target tahap awal, Dropping Elephant mengirimkan e-mail massal ke sejumlah alamat e-mail yang telah mereka kumpulkan berdasarkan relevansi target terhadap tujuan mereka. E-mail spear-phishing yang dikirim oleh penyerang berisi referensi ke konten yang dikontrok dari jauh - tidak terlampir dalam e-mail itu sendiri, tapi diunduh dari sumber eksternal.

E-mail tidak memiliki payload berbahaya, kecuali sederhana permintaan "ping" yang dikirimkan ke server penyerang jika target membuka e-mail. Hal ini secara otomatis mengirimkan pesan yang berisi beberapa informasi dasar tentang penerima seperti alamat IP, jenis browser dan  perangkat yang digunakan serta lokasinya.

Setelah menggunakan metode sederhana ini untuk menyaring target mana yang paling berharga, para penyerang kemudian melanjutkan dengan langkah selanjutnya, yaitu e-mail spear-phishing yang dikhususkan.

Cara ini menggunakan dokumen Word dengan exploit CVE-2012-015 atau slide PowerPoint dengan exploit untuk kerentanan CVE-2014-6352 pada Microsoft Office. Keduanya merupakan exploit yang umum dan telah dikenal untuk waktu yang lama, tapi masih efektif.

Beberapa korban yang menjadi target mendapat serangan watering hole: mereka menerima link ke website yang menyamar sebagai portal berita politik, berfokus pada urusan eksternal Cina. Mayoritas link di website ini mengarah pada konten tambahan dalam bentuk PPS (PowerPoint Slide) dengan payload berbahaya di dalamnya. 

Meskipun kerentanan yang digunakan dalam serangan itu telah ditambal oleh Microsoft, para penyerang masih bisa mengandalkan trik social engineering untuk meretas target mereka apalagi jika mereka mengabaikan beberapa peringatan keamanan yang ditampilkan dan setuju untuk mengaktifkan fitur berbahaya dalam dokumen.

Adapun konten dari PPS berbahaya tersebut berisi artikel berita asli yang dipilih dengan cermat, menampilkan topik geopolitik yang banyak dibahas, sehingga membuat dokumen terlihat dapat dipercaya dan cenderung untuk dibuka. Hal ini menyebabkan banyak target menjadi terinfeksi.

Setelah sukses mengeksploitasi kerentanan, kemudian berbagai alat berbahaya diinstal pada mesin korban.

Peralatan ini kemudian mengumpulkan dan mengirim penyerang jenis data berikut ini: dokumen Word, spreadsheet Excel, presentasi PowerPoint, file PDF, kredensial login yang disimpan di browser.
Selain serangan social engineering dan eksploitasi untuk kerentanan lama, salah satu backdoors Dropping Elephant menggunakan metode komunikasi C & C yang mereka pinjam dari pelaku ancaman lainnya: mereka menyembunyikan lokasi sebenarnya dari server C & C dengan cara memberikan komentar pada artikel di situs Web publik yang sah. Teknik ini sebelumnya telah diamati, meskipun dengan eksekusi yang jauh lebih kompleks, dalam operasi yang dilakukan oleh Miniduke dan pelaku ancaman lainnya. Hal ini dilakukan dalam rangka untuk membuat penyelidikan terhadap serangan menjadi lebih rumit.

Target Berdasarkan Geografis

Berdasarkan profil target yang dibuat oleh para peneliti Kaspersky Lab, Dropping Elephant memfokuskan diri pada dua jenis utama dari organisasi dan individu: pemerintah Cina serta entitas diplomatik dan setiap individu yang terhubung ke negara tersebut, serta mitra dari organisasi-organisasi ini di negara-negara lainnya.

Secara total, para ahli Kaspersky Lab mampu mengidentifikasi beberapa ratus target di seluruh dunia, yang sebagian besar terletak di Cina, sementara yang lain berasal dari atau terkait dengan Pakistan, Sri-Lanka, Uruguay, Bangladesh, Taiwan, Australia, Amerika Serikat dan beberapa negara lainnya.

Artefak

Ada indikator yang menunjuk pada fakta bahwa kelompok hacker ini dioperasikan dari India. Namun, pada saat yang sama, tidak ada bukti kuat untuk bahwa negara/bangsa mungkin terlibat atau mensponsori operasi ini.

Analisis aktivitas mengungkapkan bahwa penyerang mungkin beroperasi di zona waktu UTC+5 atau UTC+6. Yang cukup menarik, sejak Mei 2016, peneliti Kaspersky Lab telah melihat adanya pola aktivitas baru bagi kelompok di wilayah geografis baru yang mencakup zona Pacific Standard Time, sesuai - diantaranya - dengan jam kerja di daerah Pantai Barat Amerika Serikat. Hal ini mungkin merupakan hasil dari peningkatan jumlah pegawai di kelompok Dropping Elephant.

"Meskipun menggunakan alat-alat dan eksploitasi sederhana dengan harga terjangkau, kelompok ini tampaknya mampu mendapatkan informasi intelijen berharga, yang menjadi alasan mengapa kelompok ini semakin besar di bulan Mei 2016. Perluasan ini juga menunjukkan bahwa mereka tidak akan mengakhiri operasinya dalam waktu dekat. Organisasi dan individu yang sesuai dengan profil target dari kelompok ini terutama harus berhati-hati. Kabar baiknya adalah kelompok ini belum terlihat menggunakan peralatan yang benar-benar canggih dan sulit terdeteksi. Ini berarti bahwa aktivitas mereka relatif mudah untuk di identifikasi. Namun, situasi ini tentu saja bisa bperubah setiap saat," ungkap Vitaly Kamluk, Head of Research Center APAC, GReAT, Kaspersky Lab.

Kaspersky Lab terbuka untuk bekerja sama dengan CERTs dan lembaga penegak hukum dari negara yang terkena dampaknya untuk menginformasikan kepada para target dan membantu menanggulangi ancaman.

Dalam rangka melindungi diri sendiri dan organisasi Anda dari kelompok spionase cyber seperti Dropping Elephant, para ahli keamanan Kaspersky Lab menyarankan mengambil langkah-langkah berikut:

Patuhi aturan dasar keamanan Internet: tidak membuka lampiran dalam e-mail yang diterima dari pengirim yang tidak dikenal dan secara teratur memperbarui perangkat lunak pada PC Anda;

Gunakan solusi keamanan yang terbukti mampu memerangi ancaman cyber yang paling canggih;
Ingat bahwa apa yang tampak seperti sebuah dokumen yang sah bisa menjadi tahap pertama dari serangan yang ditargetkan terhadap perusahaan Anda. Dalam organisasi besar, gunakan solusi anti serangan ditargetkan yang telah terbukti mampu mendeteksi anomali berbahaya di jaringan perusahaan sebelum malware diinstal dan data dicuri;
Cara terbaik untuk mengetahui bahwa perlindungan Anda selalu up to date adalah dengan melacak evolusi dari para aktor serangan yang ditargetkan. Gunakan layanan intelijen ancaman untuk memastikan Anda menyadari apa teknik baru yang para penyerang gunakan dan langkah-langkah perlindungan apa  saja yang bisa membuat teknik ini tidak efektif.
 

Solusi Kaspersky Lab mendeteksi dan menetralisir malware Dropping Elephant sebagai Exploit.Win32.CVE-2012-0158;

Exploit.MSWord.CVE-2014-1761;
Trojan-Downloader.Win32.Genome;
HEUR:Trojan.Win32.Generic.
Trojan.Win32.Agent.ijfx
Trojan-Ransom.Win32.PolyRansom.bel
Trojan.Win32.Autoit.fdp
Kaspersky Lab juga mendeteksi exploit yang digunakan dalam dokumen.

Untuk mempelajari lebih lanjut tentang kelompok Dropping Elephant, silahkan membaca blogpost on Securelist.com. 

Versi lengkap dari laporan Dropping Elephant tersedia bagi pelanggan dari layanan laporan Kaspersky Lab APT Intelligence. Pelajari lebih lanjut di: http://www.kaspersky.com/enterprise-security/apt-intelligence-reporting

Pelajari lebih lanjut tentang bagaimana produk dari Kaspersky Lab dapat melindungi pengguna dari ancaman ini.