Halloween party ideas 2015
Kelompok Hacker India Serang Tiongkok

16:14:00
A+ A- Print Email
Kelompok Hacker India Serang Tiongkok

Ilistrasi hack

Global Research and Analysis Team (GReAT) dari Kaspersky Lab menemukan adanya sebuah kelompok Hacker, yang kemungkinan beroperasi dari India, mereka melakukan aktivitas spionase cyber agresif dikawasan Asia.

Mereka menargetkan beberapa entitas diplomatik dan pemerintahan, khususnya berfokus pada Tiongkok serta segala urusan Internasional yang berkaitan dengan negara tersebut. Kelompok Hacker ini hanya berbekal eksploitasi usang dan peralatan yang tidak begitu canggih sebagai persenjataan mereka.

 Mereka juga diketahui mencoba untuk melakukan serangan kepada para target berprofil prnting di negara-negara barat. Modus operandi kelompok Hacer Dropping Elephant (Chinastrats) ini hampir tidak bisa dikatakan canggih.

Para penyerang sangat bergantung pada social engineering serta peralatan dan eksploitasi malware berbudget rendah. Namun, cara ini tampaknya cukup efektif, sehingga membuat kelomok Hacker ini menjadi salah satu Kelompok Hacker yang berbahaya.

Dari November 2015 hingga Juni 2016, kelompok Hacker ini melakukan profiling ratusan hingga ribuan target di seluruh dunia.

Tidak hanya itu, dalam beberapa bulan, operasi mereka berhasil mencuri dokumen dari setidaknya beberapa lusin korban yang telah mereka targetkan sebelumnya.

Menurut keterangan resmi yang Tekno Liputan6.com terima, Jumat (15/7/2016), untuk profiling target tahap awal, Dropping Elephant mengirimkam dua email massa ke sejumlah alamat email yang telah mereka kumpulkan berdasarkan relevansi target terhadap tujuan mereka.

Email spear-phishing yang dikirim berisi referensi ke konten yang dikontrol dari jauh--tidak terlampir dalam email itu sendiri-- tetapi diunduh dari sumber eksternal. Email tidak memiliki payload berbahaya, kecuali permintaan "ping" yang dikirimkan ke server penyerang, dibuka oleh target.

Hal ini secara otomatis mengirimkan pesan yang berisi beberapa informasi dasar tentang penerima, seperti alamat IP, jenis Browser, dan perangkat yang digunakan serta lokasinya.

Setelah menggunakan metode sederhana ini untuk menyaring tarrget yang paling berharga, hacker kemudian melanjutkan ke langkah selanjutnya, yaitu email spear-phishing yang dikhususkan.

Cara ini menggunakan dokumen Word dengan exploit CVE-2014-015 atau slide PowerPoint dengan expolit untuk kerentanan CVE-2014-6352 pada Microsoft Office. Keduanya merupakan exploit yang umum dan telah dikenal untuk waktu yang lama, tetapi masih efektif.

Beberapa korban yang menjadi target mendapat serangan watering hole, dimana mereka memiliki link ke website yang menyamar sebagai portal berita politik, berfokus pada urusan eksternal China. Mayoritas link di website ini mengarah pada konten tambahan dalam bentuk PPS (PowerPoint Slide) dengan payload berbahaya di dalamnya.

Meskipun kerentanan yang digunakan dalam serangan itu telah telah ditambal oleh Microsoft, para penyerang masih bisa mengandalkan trik social engineering untuk meretas target mereka.

Apalagi jika mereka mengabaikan beberapa peringatan keamanan yang ditampilkan dan setuju untuk mengaktifkan fitur berbahaya dalam dokumen.

Ilustrasi hacker
Adapun konten dari PPS berbahaya tersebut berisi artikel berita asli yang dipilih dengan cermat, menampilkan geopolitik yang banyak dibahas, dehingga membuat dokumrnt terlihat dapat dipercaya dan cenderung untuk dibuka. Hali ini menyebabkan banyak target yang menjadi terinfeksi.

Setelah sukses mengeksploitasi kerentanan, kemudian berbagai alat berbahaya di instal pada mesin korban. Peralatan ini kemudian mengumpulkan dan mengirim penyerang dengan jenis data: dokumen Word, spreadsheet Excel, presentasi PowerPoint, file PDF, dan kredensial login yang disimpan di browser.

Selain serangan sosial engineering dan eksploitasi, salah satu backdoors Droping Elephat juga menggunakan metode komunikasi C&C yang mereka pinjam dari pelaku ancaman lain. Mereka menyembunyikan lokasi sebenarnya dari server C&C dengan cara memberikan komentar pada artikel di situs web publik yang sah.

Teknik ini sebenarnya telah diamati, meskipun dengan eksekusi yang jauh lebih kompleks, dalam operasi yang dilakukan oleh Miniduke dan pelaku ancaman lainnya. Hal ini dilakukan dalam rangka untuk membuat penyelidikkan terhadap serangan menjadi lebih rumit.

Tekno >Internet
, , ,

Post a Comment

Subscribe to: Post Comments (Atom)
Powered by Blogger.