JAKARTA (IndoTelko) - Malaysia's Computer Emergency Response Team (MyCERT) menduga ada serangan siber teroganisir dari kelompok hacker yang didukung oleh pemerintah Tiongkok dengan target komputer yang dimiliki oleh pejabat dari negeri jiran itu.
Zdnet melaporkan, MyCert dalam security advisory-nya mengungkapkan serangan dilancarkan dengan menggunakan phishing email.
Para penyerang berpura-pura menjadi jurnalis, perwakilan perdagangan, perwakilan militer, hingga Lembaga Swadaya Masyarakat (LSM) yang mengirimkan tautan ke Google Drive. Ketika dokumen dibuka, si penerima akan diminta untuk enable macros.
Malicious macros ini menggunakan dua exploit Office (CVE-2014-6352 dan CVE-2017-0199) untuk mengeksekusi kode pada sistem korban untuk mengunduh dan menginstal malware.
"Grup ini cenderung menargetkan proyek-proyek yang disponsori pemerintah dan mengambil sejumlah besar informasi khusus untuk proyek-proyek tersebut, termasuk proposal, pertemuan, data keuangan, informasi pengiriman, rencana dan gambar, dan data mentah," kata MyCERT.
Sejauh ini MyCERT belum menginformasikan ada pejabat negara yang terkena serangan ini. MyCERT sendiri tak berani secara gamblang menuding pemerintah Tiongkok dibalik serangan ini.
Namun melihat pola serangan yang dilakukan, tindakan ini biasanya dilakukan oleh kelompok yang dikenal dengan nama APT40, dimana selama ini aktifitasnya terafiliasi dengan kepentingan pemerintahan Tiongkok.
Dalam sebuah laporan yang diterbitkan bulan lalu, sekelompok online analis keamanan cyber yang menyebut diri mereka Intrusion Truth mengklaim bahwa APT40 adalah kontraktor yang dipekerjakan dan beroperasi di bawah pengawasan departemen Hainan dari Kementerian Keamanan Negara Tiongkok.
Menurut FireEye, selain Malaysia, grup ini juga menargetkan Kamboja, Belgia, Jerman, Hong Kong, Filipina, Norwegia, Arab Saudi, Swiss, Amerika Serikat, dan Inggris.
Kelompok ini terutama berfokus pada "teknik, transportasi, dan industri pertahanan, terutama di mana sektor-sektor ini tumpang tindih dengan teknologi maritim."
Menurut beberapa laporan, grup ini telah aktif sejak 2014. Grup APT40 juga dilacak oleh perusahaan keamanan lain, tetapi dengan nama lain, seperti TEMP.Periscope, TEMP.Jumper, Leviathan, BRONZE MOHAWK, GADOLINIUM.(ak)