Grup hacking Cina dilaporkan telah menyerang industri penerbangan selama beberapa tahun terakhir dengan tujuan mendapatkan data penumpang untuk melacak pergerakan orang yang ditargetkan. Intrusi telah dikaitkan dengan aktor ancaman yang dilacak dengan nama Chimera.
Diyakini beroperasi untuk kepentingan negara Tiongkok, aktivitas grup hacking Cina tersebut pertama kali dijelaskan dalam laporan dan presentasi Black Hat dari CyCraft pada tahun 2020.
Laporan awal menyebutkan serangkaian serangan terkoordinasi terhadap industri superkonduktor Taiwan.
Namun dalam laporan baru yang diterbitkan minggu lalu oleh NCC Group dan anak perusahaannya Fox-IT, kedua perusahaan tersebut mengatakan intrusi grup lebih luas dari yang diperkirakan, karena juga menargetkan industri penerbangan.
“NCC Group dan Fox-IT mengamati aktor ancaman ini selama berbagai keterlibatan respons insiden yang dilakukan antara Oktober 2019 hingga April 2020,” kata kedua perusahaan itu.
Serangan ini menargetkan perusahaan semikonduktor dan maskapai penerbangan di berbagai wilayah geografis, dan bukan hanya Asia, kata NCC dan Fox-IT.
Dalam kasus beberapa korban, para peretas tetap bersembunyi di dalam jaringan hingga tiga tahun sebelum akhirnya ditemukan.
Sementara serangan yang diatur terhadap industri semikonduktor ditujukan untuk pencurian kekayaan intelektual (IP), serangan terhadap industri penerbangan lebih difokuskan pada hal lain.
“Tujuan menargetkan beberapa korban tampaknya untuk mendapatkan Passenger Name Records (PNR),” kata kedua perusahaan itu. “Bagaimana data PNR ini diperoleh kemungkinan berbeda-beda untuk setiap korban, tetapi kami mengamati penggunaan beberapa file DLL khusus yang digunakan untuk terus mengambil data PNR dari memori sistem tempat data tersebut biasanya diproses, seperti server pemesanan penerbangan.”
Baca Juga: “Microsoft: 3 Grup APT Targetkan 7 Pembuat Vaksin COVID-19“
Laporan gabungan NCC dan Fox-IT juga menjelaskan modus operandi khas grup Chimera, yang biasanya dimulai dengan mengumpulkan kredensial login pengguna yang bocor di domain publik setelah pelanggaran data di perusahaan lain.
Data ini digunakan untuk serangan credential stuffing atau password spraying terhadap layanan karyawan target, seperti akun email. Setelah masuk, operator Chimera mencari detail login untuk sistem perusahaan, seperti sistem Citrix dan peralatan VPN.
Begitu berada di dalam jaringan internal, penyusup biasanya menggunakan Cobalt Strike, framework pentesting yang digunakan untuk “adversary emulation“, yang mereka gunakan untuk berpindah secara lateral ke sebanyak mungkin sistem, mencari IP dan detail penumpang.
Kedua perusahaan keamanan tersebut mengatakan bahwa para peretas itu sabar serta teliti dan akan mencari sampai mereka menemukan cara untuk melintasi jaringan tersegmentasi untuk mencapai sistem yang diminati.
Begitu mereka menemukan dan mengumpulkan data yang mereka kejar; informasi ini secara teratur diunggah ke layanan cloud publik seperti OneDrive, Dropbox, atau Google Drive, mengetahui bahwa lalu lintas ke layanan ini tidak akan diperiksa atau diblokir di dalam jaringan yang dibobol.
Meskipun laporan NCC dan Fox-IT tidak berspekulasi mengapa para aktor ancaman menargetkan industri penerbangan dan mengapa mereka mencuri data penumpang, namun ini cukup jelas.
Faktanya, sangat umum bagi grup peretas yang disponsori negara untuk menargetkan perusahaan penerbangan, jaringan hotel, dan telekomunikasi untuk mendapatkan data yang dapat mereka gunakan untuk melacak pergerakan dan komunikasi orang-orang yang berkepentingan.
