Hacker China Diduga Serang Lembaga Pemerintah AS
Berita Cybersecurity, Hacker China Serang USA - Federal Civilian Executive Branch Agencies yang tidak disebutkan namanya di AS telah mendeteksi aktivitas email yang tidak biasa pada pertengahan Juni 2023. Aktivitas ini terjadi di lingkungan Microsoft dan diduga merupakan spionase baru yang dilakukan oleh China, yang menargetkan 24 organisasi.
Menurut laporan dari The Hacker News, rincian aktivitas tersebut berasal dari penasihat keamanan siber yang dirilis oleh U.S. Cybersecurity and Infrastructure Security Agency (CISA) dan Federal Bureau of Investigation (FBI) pada tanggal 12 Juli 2023.
"Pada bulan Juni 2023, agen dari Federal Civilian Executive Branch (FCEB) mengidentifikasi adanya aktivitas mencurigakan di dalam lingkungan cloud Microsoft 365 (M365) mereka," kata pihak berwenang seperti yang dilaporkan oleh The Hacker News.
"Microsoft menyimpulkan bahwa pelaku Advanced Persistent Threat (APT) telah berhasil mengakses dan mengambil data dari Exchange Online Outlook yang tidak terklasifikasi."
Meskipun nama lembaga pemerintah yang terkena dampak tidak diungkapkan, CNN dan Washington Post melaporkan bahwa Departemen Luar Negeri AS menjadi salah satu target, dengan mengutip sumber-sumber yang mengetahui masalah tersebut.
Selain itu, Departemen Perdagangan AS, akun email staf kongres, advokat hak asasi manusia AS, dan organisasi pemikir AS juga menjadi sasaran. Jumlah organisasi yang terkena dampak di AS diperkirakan hanya dalam angka satu digit.
Pengungkapan ini terjadi satu hari setelah Microsoft mengaitkan kampanye ini dengan "aktor ancaman yang berbasis di China" yang telah mereka lacak dengan sebutan Storm-0558.
Kampanye ini menargetkan lembaga pemerintah di Eropa Barat dan berfokus pada spionase dan pencurian data. Bukti yang telah dikumpulkan menunjukkan bahwa aktivitas jahat ini dimulai satu bulan sebelum terdeteksi.
Namun, China telah menolak tuduhan bahwa mereka berada di balik serangan ini. Mereka menyebut AS sebagai "kerajaan peretasan terbesar di dunia dan pencuri dunia maya" dan menuntut agar AS menjelaskan kegiatan serangan dunia maya mereka serta berhenti menyebarkan disinformasi untuk mengalihkan perhatian publik.
Serangan ini melibatkan penggunaan token otentikasi palsu oleh cyberspies untuk mendapatkan akses ke akun email pelanggan yang menggunakan Outlook Web Access di Exchange Online (OWA) dan Outlook.com.
Token palsu ini dibuat dengan menggunakan kunci penandatanganan konsumen Microsoft Account (MSA) yang berhasil diperoleh. Saat ini, metode yang tepat untuk mengamankan kunci tersebut masih belum jelas.
Selain itu, Storm-0558 juga menggunakan dua alat malware khusus bernama Bling dan Cigril. Cigril adalah sebuah trojan yang digunakan untuk mendekripsi file terenkripsi dan menjalankannya langsung dari memori sistem guna menghindari deteksi.
CISA mengatakan bahwa agensi FCEB dapat mengidentifikasi pelanggaran dengan menggunakan pencatatan yang ditingkatkan di Microsoft Purview Audit, terutama dengan menggunakan tindakan audit kotak surat MailItemsAccessed.
Agensi tersebut juga merekomendasikan agar organisasi mengaktifkan Pencatatan Audit Purview (Premium), mengaktifkan Microsoft 365 Unified Audit Logging (UAL), dan memastikan bahwa log dapat dicari oleh operator agar memungkinkan pencarian aktivitas semacam ini dan membedakannya dari perilaku yang diharapkan di lingkungan tersebut.
"CISA dan FBI juga menyarankan agar organisasi mencari pola-pola yang mencurigakan dan memahami pola dasar untuk dapat membedakan antara lalu lintas yang tidak normal dengan lalu lintas yang normal," tambah mereka.
Posting Komentar untuk "Hacker China Diduga Serang Lembaga Pemerintah AS"