 |
| Gambar layar email spear phishing yang dikirim oleh admin@338 kepada jurnalis |
serangan dunia maya (cyber attack)
tingkat tinggi dewasa ini, hari ini merilis hasil penelitiannya mengenai
kampanye baru-baru ini yang dilakukan oleh sebuah kelompok ancaman dunia maya
Tiongkok — yang disebut “admin@338” — yang menarget
organisasi-organisasi media dengan basis di Hong Kong.
Pada bulan Agustus,
kelompok ini mengirimkan email spear
phishing mengenai perkembangan terbaru yang layak diberitakan berisi
lampiran berbahaya kepada berbagai organisasi media di Hong Kong, termasuk
outlet surat kabar, radio, dan televisi. Satu
email menyebutkan pendirian organisasi masyarakat sipil Kristen yang bertepatan
dengan peringatan protes 2014 di Hong Kong yang dikenal sebagai Gerakan Payung
(Umbrella Movement). Email lainnya menyebutkan organisasi alumni Universitas
Hong Kong yang mengkhawatirkan bahwa suara pemilih dalam referendum untuk
mengangkat Wakil Kanselir akan dikooptasi oleh kepentingan pro-Beijing.
Kelompok ini menggunakan
malware bernama LOWBALL yang menyalahgunakan Dropbox, sebuah layanan
penyimpanan cloud yang sah, untuk tujuan perintah dan kontrol. Ketika para peneliti FireEye memperingatkan Dropbox
perihal kegiatan kelompok ini, Dropbox segera memblokir token akses yang
digunakan oleh LOWBALL. Dengan bertindak
demikian, Dropbox memutus kemampuan perintah dan kontrol kelompok tersebut
dalam semua versi malware tersebut yang teramati.
FireEye telah mengamati
serangan-serangan bertarget khusus oleh berbagai kelompok ancaman di Tiongkok
terhadap jurnalis pada organisasi media internasional dan domestik di Asia. Serangan-serangan ini sering kali difokuskan pada media
yang berbasis di Hong Kong, khususnya yang menerbitkan material pro-demokrasi. Jurnalis yang berada di Taiwan, Asia Tenggara, dan tempat
lain di kawasan ini juga telah dijadikan target.
“Jurnalis-jurnalis
di Asia sudah rutin menghadapi serangan dunia maya bertarget ini. Mereka bergantung pada informasi dari berbagai sumber,
yang menjadikan mereka mudah ditarget. Informasi
yang dimiliki jurnalis dan identitas sumber mereka dapat merupakan informasi
intelijen yang berharga. Tanpa pertahanan
teknologi yang memadai, mereka merupakan korban yang mudah dimangsa,” ucap
Bryce Boland, kepala pejabat teknologi FireEye untuk Asia Pasifik.
FireEye telah melacak
kegiatan admin@338 sejak tahun 2013. Kelompok ini terutama menarget
organisasi-organisasi yang terlibat dalam kebijakan keuangan, ekonomi, dan
perdagangan. FireEye pertama kalinya
melihat kelompok ini menarget outlet media pada bulan April 2015.
Kegiatan-kegiatan
sebelumnya kelompok ini yang menyerang organisasi keuangan dan kebijakan
terutama difokuskan pada email spear
fishing yang ditulis dalam bahasa Inggris, dan ditujukan bagi pemirsa
Barat. Namun, kampanye ini jelas
dirancang untuk mereka yang dapat membaca skrip Tiongkok Tradisional, yang umum
digunakan di Hong Kong.
Pada bulan April, FireEye
merilis laporan tentang APT30, sebuah kelompok terkait
Tiongkok yang sudah melakukan kampanye spionase dunia maya selama satu dekade
di Asia Tenggara dan India. APT30 juga menarget
jurnalis, tetapi FireEye belum melihat adanya kaitan langsung antara kelompok
itu dan admin@338.[GF]
Comment