Kali ini dikabarkan adanya operasi spionase siber menargetkan perusahaan telekomunikasi di seluruh dunia dengan serangan yang menggunakan unduhan berbahaya dalam upaya mencuri data sensitif, termasuk informasi tentang teknologi 5G, dari korban yang disusupi.
Dijuluki Operation Dià nxùn dan ditemukan oleh peneliti keamanan di McAfee, operasi tersebut menargetkan perusahaan telekomunikasi di Asia Tenggara, Eropa, dan Amerika Serikat.
Grup tersebut, juga dikenal sebagai Mustang Panda dan RedDelta, memiliki riwayat operasi peretasan dan spionase yang menargetkan organisasi di seluruh dunia – dan sekarang tampaknya berfokus pada penyedia telekomunikasi.
Sekiranya ada 23 penyelenggara telekomunikasi diduga menjadi sasaran dari operasi yang telah aktif setidaknya sejak Agustus 2020. Namun, saat ini masih belum terungkap berapa banyak target yang berhasil dibobol oleh penjahat siber.
Meskipun vektor awal serangan maupun infeksi belum teridentifikasi, diketahui bahwa korban diarahkan ke domain phishing berbahaya di bawah kendali penyerang yang digunakan untuk mengirimkan malware ke korban.
Menurut peneliti, halaman web berbahaya tersebut menyamar sebagai situs karier Huawei, yang telah dirancang agar terlihat tidak dapat dibedakan dari aslinya. Para peneliti menekankan bahwa Huawei sendiri tidak terlibat dalam operasi spionase siber.
Ketika target mengunjungi situs palsu, itu akan mengirimkan aplikasi Flash berbahaya yang digunakan untuk mengunduh backdoor Cobalt Strike ke mesin pengunjung.
Serangan tersebut tampaknya dirancang untuk menargetkan mereka yang memiliki pengetahuan tentang 5G dan untuk mencuri informasi sensitif atau rahasia terkait dengan teknologi tersebut.
Baca Juga: “Jaringan 4G Maupun 5G Masih Bisa Rentan Untuk Dieksploitasi“
Para peneliti telah mengaitkan Operation Dià nxùn dengan operasi peretasan yang sebelumnya dilakukan oleh kelompok Tiongkok karena serangan dan malware yang disebarkan menggunakan taktik, teknik, dan prosedur (TTP) serupa dengan operasi sebelumnya dari kelompok tersebut.
Analisis serangan menunjukkan bahwa operasi tersebut masih aktif berupaya untuk menyerang target di sektor telekomunikasi.
“Kami yakin operasinya masih berlangsung. Kami melihat aktivitas baru minggu lalu dengan TTP yang sama, yang berarti aktor dan operasi masih berjalan,” kata Thomas Roccia, peneliti keamanan di tim intelijen strategis penelitian ancaman lanjutan McAfee.
Dengan domain berbahaya yang memainkan peran penting dalam operasi ini, salah satu cara untuk membantu melindungi diri dari serangan adalah dengan melatih staf agar dapat mengenali apakah mereka diarahkan ke situs web palsu atau berbahaya – meskipun mengingat bagaimana penjahat siber akhir-akhir ini menjadi sangat ahli dalam membuat situs palsu yang sangat akurat, ini bisa saja menjadi rumit.
Juga, selalu menerapkan pembaruan dan perbaikan keamanan secara tepat waktu juga dapat membantu melindungi diri dari serangan siber, karena dengan pembaruan terkini yang diterapkan cukup efektif untuk mencegah peretas mengeksploitasi kerentanan.
