McAfee Ungkap Aktor Dibalik Pencurian Informasi 5G Milik Huawei

threatmap-mcafee-2021

Serangan 5G Huawei - Tim peneliti McAfee Advanced Threat Research mengungkapkan aktivitas spionase dunia maya yang secara khusus menargetkan perusahaan telekomunikasi Huawei dalam serangan yang dijuluki "Operasi DianXun".

Peneliti McAfee Thomas Roccia, Thibault Seret dan John Fokker mengatakan dalam posting blog yang mereka unggah bahwa malware tersebut menggunakan serangkaian taktik yang mirip dengan kelompok RedDelta dan Mustang Panda.

"Meskipun vektor awal infeksi tidak sepenuhnya jelas, kami yakin dengan tingkat keyakinan menengah bahwa korban dibujuk ke domain yang dikendalikan oleh pelaku ancaman, tempat mereka terinfeksi malware yang dimanfaatkan oleh pelaku ancaman untuk melakukan penemuan tambahan. dan pengumpulan data. Kami yakin dengan tingkat keyakinan sedang bahwa penyerang menggunakan situs web phishing yang menyamar sebagai laman karier perusahaan Huawei untuk menargetkan orang-orang yang bekerja di industri telekomunikasi." kata para peneliti McAfee yang di posting dalam blognya.

Roccia, Seret, dan Fokker menulis bahwa mereka yakin tujuan kampanye tersebut adalah untuk mencuri atau mendapatkan akses ke informasi rahasia terkait dengan teknologi 5G menggunakan malware yang menyamar sebagai aplikasi Flash.


Perusahaan keamanan siber Intsights dan Positive Technologies mengidentifikasi Mustang Panda tahun lalu sebagai kelompok ancaman persisten yang maju di balik sejumlah serangan bertema COVID-19 terhadap orang-orang di Vietnam dan Mongolia. Serangan tersebut melibatkan email phishing terkait COVID-19 yang dimuat dengan file .rar berbahaya yang, ketika dibuka ritsletingnya, memasang trojan pintu belakang pada mesin korban.

RedDelta juga terkenal oleh para peneliti keamanan atas pekerjaannya menyerang Vatikan, bekas pemerintah sipil Myanmar dan dua universitas Hong Kong tahun lalu. Menurut McAfee, serangan tersebut menggunakan "pintu belakang PlugX menggunakan pemuatan sisi DLL dengan perangkat lunak yang sah, seperti Word atau Acrobat, untuk membahayakan target."

Sekarang, kelompok tersebut - yang diyakini berbasis di China - mengejar sektor telekomunikasi, dan peneliti McAfee menulis bahwa mereka yakin serangan itu terkait dengan larangan teknologi China dalam peluncuran 5G global.

"Kami yakin dengan tingkat keyakinan sedang bahwa penyerang menggunakan situs web phishing yang menyamar sebagai laman karier perusahaan Huawei untuk menargetkan orang-orang yang bekerja di industri telekomunikasi. Kami menemukan perangkat lunak perusak yang menyamar sebagai aplikasi Flash, sering kali terhubung ke domain" hxxp: / /update.careerhuawei.net "yang berada di bawah kendali pelaku ancaman. Domain berbahaya dibuat agar terlihat seperti situs karier sah untuk Huawei, yang memiliki domain: hxxp: //career.huawei.com. Pada bulan Desember, kami juga mengamati nama domain baru yang digunakan dalam kampanye ini: hxxp: //update.huaweiyuncdn.com." kata peneliti dalam analisis tentang serangan DianXun.

"Dalam laporan ini kami telah mengungkap operasi spionase baru-baru ini yang diduga dikaitkan dengan grup APT China. Mengenai sektor yang ditargetkan (telekomunikasi), kami yakin bahwa kampanye ini digunakan untuk mengakses data sensitif dan untuk memata-matai perusahaan yang terkait dengan teknologi 5G. Selain itu, penggunaan situs web Huawei palsu memberi lebih banyak petunjuk tentang target telekomunikasi," kata laporan itu.

Jejak Digital RedDelta dan Mustang Panda

Antara Mei dan September 2020, beberapa vendor keamanan (termasuk McAfee dan Recorded Future) mengamati kelompok yang menggunakan metode yang mirip dengan Mustang Panda yang menargetkan Vatikan dan organisasi Katolik lainnya di Hong Kong dan Italia. Gangguan itu terjadi menjelang pembaruan yang direncanakan dari perjanjian 2018 antara China dan Vatikan yang melibatkan komunitas Katolik di China dan tampaknya dirancang untuk memberi Beijing informasi intelijen lebih lanjut tentang posisi negosiasi Takhta Suci, kata Recorded Future.

Mustang Panda pertama kali muncul kembali pada tahun 2014 dan telah dikaitkan dengan serangan terhadap organisasi yang dianggap menarik bagi pemerintah Tiongkok. Pada 2017, CrowdStrike melaporkan mengamati anggota Mustang Panda yang menargetkan sebuah wadah pemikir yang berbasis di AS dan beberapa organisasi nonpemerintah yang berhubungan dengan Mongolia dan pemerintah Mongolia.

Vendor keamanan lain, seperti Recorded Future, mengaitkan serangan tahun lalu di Vatikan dan entitas agama lainnya dengan kelompok bernama RedDelta. Tapi Roccia mengatakan analisis McAfee menunjukkan hanya ada satu aktor di balik kampanye Operation Diànxùn yang sedang berlangsung dan yang menentang lembaga agama tahun lalu. "McAfee yakin dengan tingkat keyakinan yang tinggi bahwa kampanye tersebut dapat dikaitkan dengan Mustang Panda," kata Roccia. "Sementara penelitian sebelumnya menyebutkan RedDelta dan Mustang Panda sebagai dua kelompok terpisah, kami percaya, berdasarkan penelitian kami, bahwa Mustang Panda dan RedDelta sebenarnya adalah kelompok ancaman yang sama."

Sebagian besar serangan sebelumnya yang dilakukan Mustang Panda telah melibatkan penggunaan PlugX, sebuah Trojan akses jarak jauh yang telah digunakan oleh berbagai kelompok penyerang sejak setidaknya tahun 2008 untuk mencuri file dan memodifikasi file, mengunduh malware, mencatat penekanan tombol, dan mengontrol webcam komputer. . Namun, dengan Operation Diànxùn, kelompok ancaman telah menghindari penggunaan metode khusus tersebut, meskipun mereka terus menggunakan Cobalt Strike seperti pada kampanye sebelumnya, menurut McAfee.

Posting Komentar

0 Komentar