Credit image: Freepix
Sebuah kelompok spionase siber yang diduga berafiliasi dengan Tiongkok (China-linked cyber-espionage group) telah melancarkan Operasi serangan yang sangat tersembunyi.
Mereka secara sistematis mengeksploitasi perangkat keras jaringan dan infrastruktur yang seringkali luput dari pengawasan keamanan standar.
Kelompok ini, yang dilacak oleh para peneliti dengan kode UNC5221, menyisipkan backdoor canggih bernama “Brickstorm” ke dalam sistem organisasi di seluruh dunia.
Targetnya beragam, termasuk sektor layanan hukum, teknologi, penyedia layanan Software-as-a-Service (SaaS), dan perusahaan business process outsourcing (BPO).
Yang mengkhawatirkan, akses rahasia ini dapat bertahan rata-rata selama 393 hari (lebih dari setahun) sebelum terdeteksi.
|
Baca juga: Spionase Siber Tiongkok Serang Asia Tenggara |
Bersembunyi di Tempat yang Paling Tidak Terduga
Keberhasilan Brickstorm terletak pada kemampuan UNC5221 untuk beroperasi tanpa terdeteksi dalam waktu yang sangat lama.
1. Menyerang “Titik Buta” Jaringan
Inti dari serangan ini adalah menargetkan perangkat keras jaringan (seperti firewall, VPN, IDS/IPS, dan perangkat akses jarak jauh).
Perangkat ini biasanya ditempatkan di tepi jaringan (network edge) dan dirancang secara khusus, yang berarti perangkat tersebut tidak mendukung pemasangan alat pendeteksi ancaman standar (Endpoint Detection and Response/EDR).
Kondisi ini menciptakan titik buta (blind spots) yang sempurna bagi penyerang untuk bersembunyi.
Para peneliti mencatat bahwa meskipun Brickstorm ditemukan di berbagai jenis perangkat, UNC5221 secara konsisten menargetkan host VMware vCenter dan ESXi platform yang mengelola server virtual di perusahaan besar, setelah mendapatkan akses awal melalui perangkat keras jaringan.
2. Backdoor “Siluman” yang Sangat Personalisasi
Brickstorm, yang ditulis dalam bahasa pemrograman Go, adalah backdoor cross-platform (dapat berjalan di Linux dan BSD) dengan tingkat kecanggihan tinggi:
- Backdoor ini menyamarkan diri dengan nama dan fungsi yang menyerupai aktivitas sah di perangkat yang terinfeksi.
- Setiap korban mendapatkan server perintah dan kontrol (C2) unik sendiri. Hal ini membuat tim keamanan sulit untuk melacak dan memblokir Brickstorm secara kolektif, karena pemblokiran satu C2 tidak akan mempengaruhi korban lain.
- Beberapa sampel Brickstorm yang baru menyertakan fitur waktu tunda (delay timer). Malware ini akan tetap tertidur dalam sistem yang terinfeksi hingga tanggal yang telah ditentukan, berbulan-bulan kemudian. Ini adalah taktik kesabaran untuk mempertahankan akses jangka panjang.
- Penyerang juga menggunakan alat open source seperti Garble untuk menyamarkan kode dan logikanya, mempersulit analisis forensik.
|
Baca juga: Mitigasi Spionase Perusahaan |
3. Eksploitasi Rantai Pasokan (Supply Chain)
Yang paling mengkhawatirkan, UNC5221 menargetkan organisasi yang sistemnya menyediakan akses ke pelanggan hilir (downstream customers).
Dari hasil sebuah pengamatan, diketahui bahwa kompromi pada penyedia SaaS akan berujung pada akses ke pelanggan mereka, menurut seorang peneliti senior.
Ini berarti ketika penyedia layanan teknologi diretas, para penyerang dapat diam-diam mengakses email developer, administrator, dan data strategis milik pelanggan penyedia layanan tersebut. Hal ini menyoroti bagaimana keamanan rantai pasokan telah menjadi sasaran utama spionase siber.
Taktik Setelah Akses Berhasil
Setelah Brickstorm memberikan pijakan di dalam jaringan, UNC5221 akan menjalankan playbook dengan “tingkat kebisingan” yang rendah (low-noise playbook) untuk memperpanjang durasi tinggal mereka:
- Penyalahgunaan Kredensial: Mereka mencuri dan menggunakan kredensial dengan hak akses tinggi (high-privilege credentials) yang sah. Dengan cara ini, aktivitas mereka tampak seperti tugas rutin administrator.
- Fungsi SOCKS Proxy: Malware Brickstorm mengubah perangkat yang terinfeksi menjadi titik relai (relay point). Ini memungkinkan penyerang merutekan lalu lintas mereka melalui perangkat korban untuk masuk lebih dalam ke jaringan sambil mengaburkan asal-usul mereka yang sebenarnya.
- Penyalahgunaan Platform Virtualisasi: Mereka mengeksploitasi kemampuan manajemen virtualisasi, seperti mengkloning mesin virtual (VM) untuk mengekstrak data kredensial secara offline.
|
Baca juga: Spionase Menyelinap Melalui WPS Office |
Langkah Pencegahan bagi Organisasi
Operasi Brickstorm adalah pengingat bahwa penyerang negara maju kini bergeser menuju sistem yang sering luput dari pemantauan tradisional.
Seorang ahli keamanan siber menyarankan agar para pemimpin keamanan memandang perangkat jaringan dan platform virtualisasi ini sebagai aset yang sangat kritis. Beberapa langkah yang harus segera dilakukan:
- Pastikan inventaris perangkat keras dan perangkat lunak jaringan selalu mutakhir. Alirkan semua log dari perangkat tepi (edge devices) ini ke sistem pemantauan terpusat.
- Batasi akses internet yang tidak perlu pada perangkat infrastruktur.
- Tinjau dan perketat secara disiplin pengelolaan risiko kredensial, terutama bagi akun dengan hak istimewa tinggi yang digunakan pada vCenter atau host ESXi.
Meskipun pencegahan total tidak realistis, meningkatkan visibilitas pada “titik buta” ini dapat secara signifikan mengurangi waktu tinggal penyerang di dalam jaringan dan memperkuat ketahanan perusahaan terhadap kampanye spionase siber jangka panjang.
Sumber berita:
