- Pelaku yang disponsori negara Tiongkok menyebarkan malware Brickworm untuk menyusup ke jaringan pemerintah dan TI di seluruh dunia
- Malware menargetkan VMware vSphere dan Windows, memungkinkan persistensi, manipulasi file, dan kompromi Direktori Aktif
- CISA memperingatkan risiko spionase dan sabotase jangka panjang; Tiongkok membantah tuduhan tersebut dan menyebut AS sebagai “penindas dunia maya”
Pelaku ancaman yang disponsori negara Tiongkok telah menggunakan Brickworm perangkat lunak perusak terhadap organisasi pemerintah di seluruh dunia – mempertahankan akses, mengeksfiltrasi file, dan menguping.
Hal ini berdasarkan laporan bersama yang diterbitkan oleh Badan Keamanan Siber dan Infrastruktur AS (CISA), Badan Keamanan Nasional (NSA), dan Pusat Keamanan Siber Kanada. Laporan tersebut menguraikan bagaimana malware tersebut beroperasi berdasarkan analisis delapan sampel yang diperoleh dari jaringan korban.
Dalam hal ini, dikatakan bahwa peretas RRT menargetkan organisasi “pemerintah dan teknologi informasi”, tanpa merinci siapa korbannya, atau di mana mereka berada. Pada saat yang sama, Crowdstrike mengatakan pihaknya mengamati bahwa hal ini digunakan untuk melawan organisasi pemerintah Asia-Pasifik.
Memanipulasi file
Untuk membobol jaringan target, pelaku ancaman akan menggunakan sistem VMware vSphere dan Windows.
“Di organisasi korban tempat CISA melakukan upaya respons insiden, pelaku siber yang disponsori negara RRT memperoleh akses persisten jangka panjang ke jaringan internal organisasi tersebut pada bulan April 2024 dan mengunggah malware BRICKSTORM ke server internal VMware vCenter,” tegas CISA. Kemudian ditambahkan bahwa penjahat menggunakan Direktori Aktif:
“Mereka juga memperoleh akses ke dua pengontrol domain dan server Active Directory Federation Services (ADFS). Mereka berhasil menyusupi server ADFS dan mengekspor kunci kriptografi.”
Selain dapat mempertahankan akses tersembunyi, Brickwork juga memungkinkan mereka mengakses dan memanipulasi semua file di perangkat. Dalam beberapa kasus, mereka dapat bergerak secara lateral di seluruh jaringan, sehingga membahayakan lebih banyak perangkat.
Bagi Penjabat Direktur CISA Madhu Gottumukkala, laporan ini “menggarisbawahi ancaman besar yang ditimbulkan oleh Republik Rakyat Tiongkok yang menciptakan paparan keamanan siber dan kerugian yang terus-menerus bagi Amerika Serikat, sekutu kita, dan infrastruktur penting yang kita semua andalkan.”
“Aktor-aktor yang disponsori negara ini tidak hanya menyusup ke jaringan – mereka juga menanamkan diri mereka untuk memungkinkan akses jangka panjang, gangguan, dan potensi sabotase,” katanya.
Tiongkok telah dikaitkan dengan serangan siber tingkat tinggi yang tak terhitung jumlahnya terhadap negara-negara barat selama bertahun-tahun. Mereka dituduh mendatangi penyedia telekomunikasi, infrastruktur penting, dan entitas pemerintah – yang tertarik pada spionase dunia maya dan potensi gangguan. Dalam beberapa kasus, serangan tersebut direncanakan dan dilakukan bertahun-tahun yang lalu, dan merupakan bagian dari kemungkinan upaya perang melawan Taiwan di masa depan.
Namun perwakilan negara tersebut selalu membantah keras semua tuduhan, dan malah menggambarkan AS sebagai “penindas dunia maya” terbesar di dunia.
Melalui Catatan
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
