- Malanta.ai mengungkap infrastruktur kejahatan dunia maya di Indonesia selama 14 tahun, menyerupai operasi yang disponsori negara
- Jaringan menjangkau lebih dari 320 ribu domain, subdomain pemerintah yang dibajak, dan ribuan aplikasi Android yang sarat malware
- Kampanye mencuri lebih dari 50 ribu kredensial perjudian, menggunakan AWS dan Firebase untuk C2, sehingga meningkatkan kecurigaan negara
Peneliti keamanan telah menemukan infrastruktur kejahatan dunia maya yang sangat besar di Indonesia yang terus beroperasi selama lebih dari 14 tahun.
Durasi operasi, termasuk domain, perangkat lunak perusak beredar, dan data yang dijual di pasar gelap, semuanya begitu besar sehingga para peneliti – Malanta.ai – mengatakan bahwa kampanye tersebut lebih mirip kampanye negara-bangsa dibandingkan dengan penjahat cyber “sederhana”.
“Apa yang dimulai sebagai situs perjudian sederhana telah berkembang menjadi infrastruktur serangan tingkat global, didanai dengan baik, canggih, dan disponsori negara yang beroperasi di web, cloud, dan seluler,” kata Malanta dalam blog yang baru-baru ini diterbitkan.
Apakah pemerintah terlibat?
Berdasarkan laporan, operasi tersebut telah aktif setidaknya sejak tahun 2011. Operator mengendalikan lebih dari 320.000 domain, termasuk lebih dari 90.000 domain yang diretas dan dibajak. Mereka juga mengendalikan lebih dari 1.400 subdomain yang disusupi, dan 236.000 subdomain yang dibeli – semuanya digunakan untuk mengarahkan pengguna ke platform perjudian ilegal.
Lebih buruk lagi, beberapa subdomain yang disusupi berada di server pemerintah dan perusahaan. Dalam beberapa kasus, pelaku ancaman menggunakan reverse proxy berbasis NGINX untuk mematikan koneksi TLS pada nama domain pemerintah yang sah, sehingga menyembunyikan lalu lintas C2 mereka sebagai komunikasi pemerintah yang sah.
Lalu, ada ekosistem malware – para peneliti menemukan “ribuan” aplikasi Android berbahaya, didistribusikan melalui infrastruktur publik (Amazon bucket S3 Layanan Web).
Aplikasi-aplikasi ini berfungsi sebagai dropper, menyamar sebagai platform perjudian yang sah sambil menyebarkan malware yang memberikan akses penuh ke perangkat yang disusupi di latar belakang. Pintu belakang mendapatkan perintah langsung dari infrastruktur publik lainnya – Googlelayanan Firebase Cloud Messaging.
Hal ini mengakibatkan lebih dari 50.000 kredensial login dari platform perjudian dicuri, tak terhitung jumlahnya terinfeksi Perangkat Androiddan subdomain yang dibajak yang beredar di web gelap.
“Bagaimana jika ekosistem ini bukan sekadar kejahatan dunia maya?” para peneliti berspekulasi.
Biasanya, cakupan, skala, dan dukungan finansial di balik infrastruktur ini jauh lebih selaras dengan kemampuan yang biasanya dikaitkan dengan pelaku ancaman yang disponsori negara.
Melalui Berita keamanan siber
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
