Liputan6.com, Jakarta - Global Research and Analysis Team (GReAT) dari Kaspersky Lab menemukan adanya sebuah kelompok hacker, yang kemungkinan beroperasi dari India, melakukan aktivitas spionase cyber agresif di kawasan Asia.
Mereka menargetkan beberapa entitas diplomatik dan pemerintahan, khususnya berfokus pada Tiongkok serta segala urusan internasional yang berkaitan dengan negara tersebut. Kelompok ini hanya berbekal eksploitasi usang dan peralatan yang tidak begitu canggih sebagai persenjataan mereka.
Mereka juga diketahui mencoba untuk melakukan serangan kepada para target berprofil penting di negara-negara barat. Modus operandi kelompok hacker Dropping Elephant (juga dikenal sebagai Chinastrats) ini hampir tidak bisa dikatakan canggih.
Para penyerang sangat bergantung pada social engineering serta peralatan dan eksploitasi malware berbudget rendah. Namun, cara ini tampaknya cukup efektif, sehingga membuat kelompok hacker ini menjadi salah satu yang berbahaya.
Baca Juga
Advertisement
Dari November 2015 hingga Juni 2016, kelompok hacker ini melakukan profiling ratusan hingga ribuan target di seluruh dunia.
Tidak hanya itu, dalam beberapa bulan pertama, operasi mereka berhasil mencuri dokumen dari setidaknya beberapa lusin korban yang telah mereka targetkan sebelumnya.
Menurut keterangan resmi yang Tekno Liputan6.com terima, Jumat (15/7/2016), untuk profiling target tahap awal, Dropping Elephant mengirimkan email massal ke sejumlah alamat email yang telah mereka kumpulkan berdasarkan relevansi target terhadap tujuan mereka.
Email spear-phishing yang dikirim berisi referensi ke konten yang dikontrol dari jauh--tidak terlampir dalam email itu sendiri--tapi diunduh dari sumber eksternal. Email tidak memiliki payload berbahaya, kecuali permintaan "ping" yang dikirimkan ke server penyerang, dibuka oleh target.
Hal ini secara otomatis mengirimkan pesan yang berisi beberapa informasi dasar tentang penerima, seperti alamat IP, jenis browser, dan perangkat yang digunakan serta lokasinya.
Setelah menggunakan metode sederhana ini untuk menyaring target yang paling berharga, hacker kemudian melanjutkan ke langkah selanjutnya, yaitu email spear-phishing yang dikhususkan.
Manfaatkan Dokumen Word
Cara ini menggunakan dokumen Word dengan exploit CVE-2012-015 atau slide PowerPoint dengan exploit untuk kerentanan CVE-2014-6352 pada Microsoft Office. Keduanya merupakan exploit yang umum dan telah dikenal untuk waktu yang lama, tapi masih efektif.
Beberapa korban yang menjadi target mendapat serangan watering hole, di mana mereka menerima link ke website yang menyamar sebagai portal berita politik, berfokus pada urusan eksternal China. Mayoritas link di website ini mengarah pada konten tambahan dalam bentuk PPS (PowerPoint Slide) dengan payload berbahaya di dalamnya.
Meskipun kerentanan yang digunakan dalam serangan itu telah ditambal oleh Microsoft, para penyerang masih bisa mengandalkan trik social engineering untuk meretas target mereka.
Apalagi jika mereka mengabaikan beberapa peringatan keamanan yang ditampilkan dan setuju untuk mengaktifkan fitur berbahaya dalam dokumen.
Adapun konten dari PPS berbahaya tersebut berisi artikel berita asli yang dipilih dengan cermat, menampilkan topik geopolitik yang banyak dibahas, sehingga membuat dokumen terlihat dapat dipercaya dan cenderung untuk dibuka. Hal ini menyebabkan banyak target menjadi terinfeksi.
Setelah sukses mengeksploitasi kerentanan, kemudian berbagai alat berbahaya diinstal pada mesin korban. Peralatan ini kemudian mengumpulkan dan mengirim penyerang jenis data: dokumen Word, spreadsheet Excel, presentasi PowerPoint, file PDF, kredensial login yang disimpan di browser.
Selain serangan social engineering dan eksploitasi, salah satu backdoors Dropping Elephant menggunakan metode komunikasi C & C yang mereka pinjam dari pelaku ancaman lainnya. Mereka menyembunyikan lokasi sebenarnya dari server C & C dengan cara memberikan komentar pada artikel di situs web publik yang sah.
Teknik ini sebelumnya telah diamati, meskipun dengan eksekusi yang jauh lebih kompleks, dalam operasi yang dilakukan oleh Miniduke dan pelaku ancaman lainnya. Hal ini dilakukan dalam rangka untuk membuat penyelidikan terhadap serangan menjadi lebih rumit
(Isk/Why)
Advertisement