Dalam pengumuman yang dipajang di websitenya pada Kamis lalu (10 September 2020), Eterbase mengatakan pelaku membobol dompet panas perusahaan yang menyimpan aset Bitcoin, Ether, ALGO, Ripple, Tezos, dan TRON.

Dompet panas adalah akun uang kripto (cryptocurrency) yang secara aktif terhubung ke internet dan digunakan oleh Eterbase untuk menjalankan transaksi jual beli mata uang kripto.

Dana dicuri dari enam dompet panas, menyimpan aset Bitcoin, Ether, ALGO, Ripple, Tezos, dan TRON.

Dalam serangkaian pesan yang diunggah di saluran Telegramnya, seperti dilansir dari ZDnet, perusahaan mengatakan telah mendeteksi serangan tetapi tidak dapat menghentikannya.

Meski demikian, Eterbase mengatakan telah melacak kemana saja uang dari dompet digitalnya mengalir. Diantaranya dikirim ke bursa kripto ternama Binance. Temuan itu telah dilaporkan ke bursa tersebut dan Eterbase meminta agar aset yang dicuri itu dibekukan.

Eterbase memastikan kasus itu telah dilaporkan ke pihak berwenang untuk investigasi lebih lanjut.

“Setelah audit keamanan oleh perusahaan global terkenal, operasi kami akan dilanjutkan. Kami akan mengumumkan tanggal pembukaan kembali platform Eterbase Exchange sesegera mungkin,” tulis perusahaan dalam pengumuman lanjutan.

(Cyberthreat/PARADE.ID)

Artikel Bursa Uang Kripto Dibobol Hacker pertama kali tampil pada Parade.id.

Dilansir dari Tribun Madura, Pemkab Sampang baru mengetahui telah menjadi korban serangan hacker pada 4 September lalu.  Temuan itu disampaikan oleh Badan Pendapatan, Pengelolaan Keuangan dan Aset Daerah (BPPKAD) selaku pihak pengelola.

Kepala Bidang (Kabid) Anggaran BPPKAD Sampang, Maulidi mengatakan dokumen yang hilang itu seperti Dokumen Pelaksanaan Anggaran (DPA) dan Rencana Kerja dan Anggaran (RKA) dan sejumlah dokumen lainnya.

Maulidi mengatakan, data keuangan yang hilang hanya data tahun anggaran 2020. Sedangkan data tahun-tahun sebelumnya, masih aman.

Karena insiden itu, semua instansi terkait harus mengunggah ulang dokumen keuangannya masing-masing.

“Saat ini sudah proses unggah ulang, dan kami targetkan selesai pekan ini,” kata Maulidi, Senin (11 September 2020).

Sekretaris Dinas Perhubugan Sampang Yulis Yuwaidi membenarkan bobolnya aplikasi SIPKD. Karena itu, pihaknya harus mengunggah ulang semua dokumen keungan seperti DPA dan semacamnya..

“Sepengetahuan saya, baru kali ini ada kejadian seperti ini. Tapi saya tidak tahu penyebabnya. Kami hanya diminta memasukkan ulang semua dokumen keuangan,” kata Yulis.

(Cyberthreat/PARADE.ID)

Artikel Sistem Informasi Pengelolaan Keuangan Kabupaten Sampang Diserang Hacker pertama kali tampil pada Parade.id.

“Ini serangan yang signifikan,” kata Kepala Administrator Parlemen, Marianne Andreassen, seperti dikutip dari Reuters, Selasa (1 September 2020).

Andreassen enggan membeberkan sejumlah nama anggota parlemen yang terkena peretasan.

Tidak ada informasi yang dirilis mengenai jenis serangan tersebut. “Kami tidak tahu siapa di belakangnya,” kata Andreassen.

“Sejumlah tindakan telah dilakukan untuk mengurangi risiko serangan,” kata Andreassen. Pihaknya juga telah melaporkan kejadian tersebut ke aparat penegak hukum.

Juru bicara Partai Buruh Norwegia mengatakan, beberapa anggota dan staf partai menjadi korban.

Otoritas Keamanan Nasional Norwegia (NSA) dilibatkan untuk menyelidiki kasus tersebut. “Kami terlibat selama beberapa hari,” kata juru bicara NSA Trond Oevstedal. “Kami membantu parlemen dengan analisis dan bantuan teknis.”

(Cyberthreat/PARADE.ID)

Artikel Hacker Serang Parlemen Norwegia pertama kali tampil pada Parade.id.

Cerita itu dibagikan Teguh lewat akun Twitter @segron miliknya pada Selasa (1 September 2020). Saat artikel ini ditulis, cuitannya sudah dibagikan ulang lebih lebih dari 8.000 pengguna Twitter lainnya.

Menurut Teguh, cerita bermula ketika dirinya dihubungi oleh korban bernama Daryl yang menyebut SMS yang masuk ke nomor pribadinya bisa dibaca oleh orang lain. Pelaku kemudian mengirimkan isi SMS itu ke emailnya dan meminta dikirimkan sejumlah uang rekening bank atas nama Zul Amri.

“Ketika korban memberikan bukti sebuah email, saya melihat data yang tak biasa. Si pemeras ini menggunakan tool internal milik @Telkomsel untuk membaca isi sms korbannya,” tulis Teguh sembari melampirkan tangkapan layar email yang diterima korban.

Sebagian dari pesan email yang dikirim pelaku ke email korban. Sumber: Twitter Teguh Apriyanto

Dalam email itu, pelaku mengirimkan sejumlah SMS yang diantaranya berisi kode password sekali pakai  (one time password) dari e-commerce, dompet digital, dan perbankan.

“Karena pelaku dengan mudahnya mengakse isi sms korban, dia kemudian membajak akun Gojek korban dan melakukan orderan fiktif. Selain ituj juga mengajukan pinjaman onlikne. Ini bisa terjadi karena pelaku dengan mudah mengakses OTP yang dikirimkan ke SMS,” tulis Teguh.

Teguh kemudian meminta Telkomsel menjelaskan kepada publik bagaimana mungkin seseorang yang bukan karyawan bisa mengakses tool internal dan data sensitif korban.

“Jika ini bisa dilakukan oleh siapa pun, maka setiap orang rentan untuk dibajak semua akun miliknya,” tulis Teguh.

Setelah kisah itu viral, Zul Amri lewat akun Facebook-nya mengatakan hal itu dilakukan atas permintaan Daryl sendiri karena menggunakan jasanya yang disebutnya “jasa retas diri sendiri.”

Jasa itu, menurut Zul Amri, untuk mengetahui apakah data seseorang aman dari kebocoran data.

Namun, saat dikonfirmasi Cyberthreat.id, Darryl membantah keterangan Zul Amri. Darryl bilang, dirinya sama sekali tidak mengenal dan tidak pernah menggunakan “jasa retas diri sendiri” seperti yang dikatakan Zul Amri.

“Itu bohong mas. Saya tidak pernah mengenalnya, tidak pernah meminta dan tidak pernah mengisi formulir apa pun. Tiba-tiba saja dia kirim blackmail ke saya yang membeberkan isi SMS itu,” kata Darryl R Norbert.

Menurut Darryl, peristiwa itu terjadi Januari lalu. Lantaran merasa kaget, dia kemudian mencari tahu tentang Zul Amri dan menemukan datanya.

Akibat peretasan itu, Darryl mengatakan dirinya dikirimkan orderan Gojek fiktif, orderan dildo dari marketplace yang tak pernah dipesannya, hingga SMS notifikasi yang mengatakan dirinya telah mengajukan pinjaman online ke Bank Kalsel.

“Tapi saya tidak pernah melakukan semua itu. Logikanya saja, kalau benar saya melakukan itu, kenapa data saya digunakan untuk hal-hal negatif yang merugikan saya semacam itu. Lagi pula untuk apa saya retas diri sendiri. Itu hanya trik dia untuk membuat seolah-olah itu permintaan saya sendiri dan dia bisa bebas dari jerat hukum,” kata Darryl.

Perihal penggunaan data untuk order fiktif dan pinjaman online itu, dalam komunikasi sebelumnya lewat Facebook yang diunggah di Facebook-nya Darryl, Zul Amri menyiratkan dirinya memang melakukan hal itu.

“Gak kebalik bro, yang ngumpet siapa? Yang kirim email ke bini siapa? Eh, lu ama gw beda urusan, mending utang pinjol lo urus, apa perlu diorderin gofood tiap malem lagi? Atau dildo di marketplace?…” tulis Zul Amri.

Darryl lantas membalas komentar Zul Amri itu dengan mengatakan,”Baguslah ngaku ngelakuin itu semua, terbukti hacker gak ada etika, mau pinjol sampe ratusan juta, M sekalipun gak bakal gw urus, bukan pinjol gw. Yang lu lakjuin dah tindak pindana, pantas buat dibawa ke polisi…”

Tanggapan Telkomsel

Telkomsel sendiri dalam pernyataan tertulis yang dikirim ke redaksi media  mengatakan menjamin keamanan data pelanggan di sistem mereka.

Menurut Denny Abidin, VP Corporate Communication Telkomsel, sistem keamanan mereka pun berfungsi normal dan tak terdeteksi adanya peretasan.

“Telkomsel secara konsisten telah menerapkan sistem pengamanan, termasuk operasional sistem perlidungan dan keamanan data pelanggan dengan prosedur standard operasional tersertifikasi sesuai dengan ketentuan yang berlaku di industri telekomunikasi di Indonesia,” kata Denny.

Telkomsel mengajak penggunanya untuk menjaga kerahasiaan data pribadinya, untuk menghindarkan kejadian-kejadian yang tak diinginkan.

“Telkomsel senantiasa menghimbau kepada masyarakat untuk menjaga kerahasiaan data pribadi, termasuk informasi password, PIN ataupun OTP yang digunakan sebagai verifikasi akses layanan digital,” tambah Denny.

Namun, Denny juga tidak menjelaskan bagaimana bisa data SMS pengguna Telkomsel bisa berada di tangan pihak ketiga dan digunakan untuk meneror korban.

(Cyberthreat/PARADE.ID)

Artikel Heboh Peretasan SMS Pengguna Telkomsel, Korban Dimintai Uang pertama kali tampil pada Parade.id.

Kesamaan dalam kode sumber (source code) menyiratkan bahwa para operator ransomware ini bakal mengikuti jejak ransomware GandCrab dan REvil.

Operasi ransomware baru DarkSide disebut-sebut telah menyerang banyak perusahaan. Serangan ditujukan untuk mendapatkan akses ke akun administrator dan pengontrol domain Windows di jaringan yang dibobol.

Setelah masuk ke dalam, ransomware ini mengambil data yang tidak dienkripsi dari server korban lalu mengunggahnya ke perangkat mereka sendiri.

“Kami adalah produk baru di pasaran, tetapi bukan berarti kami tidak memiliki pengalaman dan kami datang entah dari mana. Kami mendapat keuntungan jutaan dolar bermitra dengan cryptolocker terkenal lainnya,” demikian keterangan DarkSide dilansir Bleeping Computer, Jumat (21 Agustus 2020).

Vitali Kremez – peneliti dari Advanced Intel – mengatakan DarkSide mampu menghentikan berbagai database, aplikasi kantor, dan email klien untuk mempersiapkan mesin korban agar di-enkripsi.

Permintaan tebusan di kisaran $200.000 hingga $2.000.000. Tak sampai di situ, penjahat cyber ini juga memiliki situs web kebocoran (data dumping). Di dalam situs web tersebut, operator ransomware mencantumkan perusahaan korban, tanggal insiden, informasi yang dibobol, dan tangkapan layar. Semua ditampilkan sebagai bukti-bukti.

Hacker DarkSide mengklaim telah menghasilkan jutaan dolar AS selama bekerja dengan cryptolocker terkenal lainnya. Dan, upaya mereka tidak akan berhenti sampai di situ.

Dalam pemberitahuannya, DarkSide menyatakan sedang mencari produk baru yang disesuaikan dengan kebutuhan mereka. Itu sebabnya ransomware customized diciptakan dan terus dikembangkan.

Meski demikian, ada yang unik dari serangan ransomware yang di-customized ini. Dalam siaran pers yang diterbitkan DarkSide, mereka mengatakan tidak berencana untuk menargetkan beberapa sektor, termasuk perawatan kesehatan, pendidikan, pemerintah, dan organisasi nirlaba.

KoneksikeREvildanGandCrab

DarkSide memang sengaja menghindari korban yang menginfeksi di negara-negara Commonwealth of Independent States (CIS). Kode sumber untuk melakukan serangan seperti ini mirip dengan kode yang digunakan di REvil dan GandCrab.

Selain itu, permintaan tebusan yang ditinggalkan oleh REvil menggunakan template yang hampir sama seperti yang digunakan oleh catatan tebusan REvil.

Dalam beberapa bulan terakhir, jumlah serangan ransomware meningkat secara drastis. Di satu sisi, sebagian besar ransomware baru seperti VHD, Ensiko, dan beberapa lainnya telah muncul di pasaran, sementara di sisi lain, hampir semua lembaga penegak hukum besar seperti Interpol dan FBI sibuk memberi tahu pengguna tentang peningkatan tajam dalam setiap aktivitas terkait ransomware.

Secara umum, ancaman maupun risiko ransomware terus berkembang sehingga perusahaan/organisasi perlu tindakan ekstrim. Diantaranya sering melakukan backup data, menerapkan otentikasi multi-faktor (MFA), dan menggunakan solusi pencegahan dan deteksi intrusi.

(Cyberthreat/PARADE.ID)

Artikel Hacker DarkSide Luncurkan Serangan Ransomware pertama kali tampil pada Parade.id.

Dikutip dari security week kelompok APT yang diberi nama DeathStalker menargetkan organisasi di seluruh dunia, terutama entitas keuangan. Kelompok ini memiliki keunggulan karena cepat beradaptasi untuk memastikan keberhasilan serangan, dan memperbarui perangkat lunak mereka dengan cepat.

Peneliti Kaspersky melacak kelompok ini sejak 2018 lalu dan mengkaitkan aktifitas mereka  dengan keluarga malware Powersing, Evilnum, dan Janicab. Ditemukan pula kelompok ini mungkin telah aktif setidaknya sejak 2012, dan terus mengembangkan perangkatnya.

Dalam serangan terbaru, kelompok ini melibatkan implan berbasis PowerShell yang disebut Powersing, email spear-phishing yang membawa arsip dengan file LNK berbahaya di dalamnya digunakan sebagai vektor awal. File pintasan dirancang untuk meluncurkan urutan yang pada akhirnya menghasilkan kode arbitrer yang dieksekusi di perangkat korban.

Implan Powersing dirancang untuk menangkap tangkapan layar perangkat korban secara berkala dan mengirimkannya ke server perintah dan kontrol (C&C), untuk mengeksekusi skrip PowerShell sewenang-wenang yang diterima dari C&C. Hal ini memberikan akses tersembunyi ke jaringan korban, implan memungkinkan penyerang memasang alat tambahan.

Kaspersky mengatakan DeathStalker, menggunakan layanan publik seperti Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube, dan WordPress, sebagai dead drop resolver untuk menyimpan data melalui komentar, deskripsi, posting publik, profil pengguna, dan sejenisnya.

Powersing menghubungkan ke dead drop resolver dan mengambil informasi yang disimpan dan akhirnya diubah menjadi alamat IP yang digunakan malware untuk terhubung ke server C&C yang sebenarnya. Dengan mengikuti pesan pada resolver dead drop, para peneliti menyimpulkan bahwa malware telah digunakan setidaknya sejak Agustus 2017.

“Mengandalkan layanan publik terkenal memungkinkan penjahat dunia maya menggabungkan komunikasi pintu belakang awal menjadi lalu lintas jaringan yang sah, karena platform ini umumnya tidak dapat dimasukkan ke daftar hitam di tingkat perusahaan, dan menghapus konten dari mereka bisa menjadi proses yang sulit dan panjang,” ungkap Kaspersky.

Para peneliti keamanan juga mengidentifikasi hubungan antara Powersing dan keluarga malware Janicab, dengan sampel tertuanya berasal dari tahun 2012. Dimana, tahapan infeksi awal sama untuk kedua keluarga malware. Janicab menggunakan YouTube sebagai titik serangan dan mengemas fitur-fitur yang ditemukan di Powersing yang menggunakan lalu lintas jaringan yang mirip dengan keluarga malware yang lebih baru.

Sedangkan Evilnum menggunakan rantai infeksi berbasis LNK dan mengambil informasi C&C dari dead drop resolver dengan menggunakan GitHub, serta untuk menangkap tangkapan layar yang dikirim ke C&C. Meskipun Evilnum memiliki kemampuan lebih dari Powersing dan untuk fokus dalam mengumpulkan data intelijen bisnis dari para korbannya yang berasal dari sektor fintech.

Kaspersky juga mengidentifikasi serangkaian kode yang tumpang tindih antara sampel Evilnum dan Janicab. Keduanya menunjukkan bahwa tiga keluarga malware terkait. Para peretas memanfaatkan pandemi COVID-19 dalam serangan baru-baru ini untuk mengirimkan Janicab dan Powersing.

Korban DeathStalker sebagian besar berasal dari sektor keuangan dan mereka termasuk perusahaan teknologi keuangan, kantor hukum, firma konsultasi kekayaan, dan banyak lagi. Pelaku ancaman juga diamati menargetkan entitas diplomatik. Organisasi korban berupa bisnis kecil hingga menengah, berlokasi di Argentina, Cina, Siprus, India, Israel, Lebanon, Swiss, Rusia, Taiwan, Turki, Inggris Raya, dan Uni Emirat Arab. Korban dipilih berdasarkan nilai atau berdasarkan permintaan pelanggan.

(Cyberthreat/PARADE.ID)

Artikel Hacker DeathStalker Targetkan Sektor Keuangan Sejak 2012 pertama kali tampil pada Parade.id.

Dilansir dari motherboard, kelompok peretas yang mempublikasikan dokumen itu menggunakan akun Twitter @CCP_Unmasked, merujuk pada Partai Komunis China sebagai partai pemerintah di China.

Pada Kamis pekan lalu, kelompok iu menghubungi wartawan dan mengirim file besar yang berisi pemantauan akun-akun media sosial dan kampanye disinformasi yang dilakukan oleh tiga perusahaan swasta atas perintah pemerintah China.

Peretas mengklaim telah mencuri dokumen internal dari Knowlesys (perusahaan yang berbasis di Hongkong dan Guangdong), Yunrun Big Data Service (berbasis di Guangzhou), dan OneSight yang berbasis di Beijing.

“Kami pikir publik berhak mengetahui tentang upaya Partai Komunis China untuk merusak demokrasi dan kebebasan berekspresi,” kata peretas dalam email.

Sebuah organisasi hak digital, Freedom House, menemukan sebelum Knowlesys telah membuat presentasi tentang cara “memantau pesan target Anda, profil, lokasi, perilaku, hubungan, dan lainnya” dan cara “memantau opini publik untuk pemilihan umum.”

Salah satu file yang bocor tampaknya adalah presentasi Knowlesys yang diberi setempel “Rahasia.” Di sana, perusahaan memamer produk yang disebut Intelligence Center, yang diiklankan oleh perusahaan di situs webnya tidak dijelaskan secara detail.

Dalam presentasinya, perusahaan menulis bahwa mereka telah bekerja “erat dengan badan intelijen selama 8 tahun.” Disebutkan, kliennya adalah badan intelijen, badan keamanan, militer, dan polisi.

Presentasi itu memperlihatkan sebuah sistem yang diduga dapat memantau semua jenis situs web dan layanan media sosial seperti Facebook, Twitter, dan WeChat, untuk mencari jejak teroris dan kelompok anti-pemerintah di dunia maya.

Facebook dan Twitter diblokir di China. Jadi, presentasi itu kemungkinan besar dibuat untuk pemerintah asing. Baru-baru ini, perusahaan itu sedang berusaha untuk masuk ke Inggris. Catatan online memperlihatkan Knowlesys ikut berpartisipasi dalam konferensi industri mata-mata ISS World di Dubai pada Maret lalu, dan konferensi Milpol di Qatar.

Platform tersebut, tulis Knowlesys dalam presentasi, juga dapat digunakan untuk memantau apa yang “dibicarakan dan dilakukan oleh partai oposisi di Berita, Facebook, Twitter Youtube, atau Forum Blog.

Menurut Motherboard, para peretas mengirim sejumlah kecil presentasi dan dokumen Word yang mereka klaim berasa dari perusahaan-perusahaan itu, serta kumpulan file yang besar (40 GB). Namun, Motherboad mengatakan tidak dapat memverifikasi keaslian dokumen yang beberapa ditulis dalam Bahasa Inggris dan sebagian lainnya dalam bahasa Mandarin.

Knowlesys, Yunrun, dan OneSight tidak menanggapi permintaan komentar yang dikirim melalui email.

Meskipun tidak dapat menemukan dokumen itu di sumber terbuka di internet, menurut Motherboard, rincian yang lebih detail dalam beberapa presentasi cocok dengan apa yang telah muncul di publik tentang perusahaan-perusahaan itu. Misalnya, informasi kontak yang terdapat dalam presentasi Knowlesys sesuai dengan akun email nonpublik tetapi berfungsi, akun Skype, dan akun WhatsApp CEO-nya, yang menunjukkan bahwa setidaknya dokumen itu asli.

Para peretas mulai menerbitkan beberapa file di akun Twitter mereka @CCP_Unmasked pada Kamis sore. Tetapi kemudian Twitter menangguhkan akun tersebut karena memposting materi yang diretas, kata para peretas.

Akun @CCP_Unmasked sebelum ditutup oleh Twitter

“Kami tidak ingin menjadi cerita dan kami ingin melindungi diri kami sendiri. Tetapi kami dapat memberi tahu Anda bahwa kami meretas perusahaan,” kata para peretas, menolak untuk berbicara lebih banyak tentang dokumen atau dugaan peretasan.

“Dan kami melakukannya karena kami pikir keinginan PKC untuk menyebarkan berita palsu dan mengganggu demokrasi perlu ditentang,” kata peretas.

(Cyberthreat/PARADE.ID)

Artikel Hacker Bocorkan Dokumen Perusahaan Pemantau Media Sosial pertama kali tampil pada Parade.id.

ZDNet yang berupaya menghubungi Freepik belum mendapat tanggapan namun email yang dikirimkan kepada pengguna yang terdampak data breach memang asli.

Menurut pernyataan resmi perusahaan, pelanggaran keamanan terjadi setelah peretas menggunakan kerentanan injeksi SQL untuk mendapatkan akses ke salah satu database yang menyimpan data pengguna. Penjahat cyber berhasil memperoleh nama pengguna dan password dari sekitar 8,3 juta pengguna tertua yang terdaftar di situs web Freepik dan Flaticon.

Tidak diungkapkan kapan pelanggaran terjadi atau kapan perusahaan mengetahuinya. Freepik telah memberi tahu pihak berwenang setelah mengetahui insiden dan memulai menyelidiki pelanggaran dan aset apa saja yang telah diakses peretas.

“Tidak semua pengguna memiliki password terkait (atau berhubungan) langsung dengan akunnya dan peretas hanya mengambil beberapa email pengguna,” demikian keterangan Freepik dilansir ZDNet, Sabtu (22 Agustus 2020).

Freepik menduga angka perkiraan awal kebocoran data sekitar 4,5 juta. Jumlah itu mewakili pengguna yang menggunakan login melalui Google, Facebook, atau Twitter. Sisanya sebanyak 3,77 juta pengguna menggunakan login melalui email dan password yang datanya juga sudah didapatkan penyerang.

“Sebanyak 3,55 juta pengguna, metode untuk mencirikan password-nya adalah bcrypt, dan untuk 229 ribu pengguna yang tersisa, metode tersebut diberi salt MD5. Sejak itu kami telah memperbarui hash semua pengguna ke bcrypt,” tulis perusahaan.

Sesuai aturan, Freepik telah memberi tahu pengguna yang terdampak kebocoran data. Pemberitahuan disesuaikan dengan email korban yang terdampak, tergantung data apa yang diambil. Email dikirimkan ke pengguna Freepik dan Flaticon, tergantung pada layanan apa yang telah didaftarkan oleh pengguna.

Freepik adalah salah satu situs terpopuler di internet dan saat ini menduduki peringkat # 97 dalam daftar 100 situs Top Alexa. Flaticon tidak jauh di belakang, peringkat # 668.

Saat EQT mengakuisisi Perusahaan Freepik akhir Mei lalu, perusahaan mengklaim layanan Freepik memiliki komunitas lebih dari 20 juta pengguna terdaftar. Pengguna yang terdaftar di Slidesgo, situs web Perusahaan Freepik lainnya, kemungkinan besar tidak terpengaruh insiden ini.

(Cyberthreat/PARADE.ID)

Artikel Freepik Dibobol Hacker pertama kali tampil pada Parade.id.

Taiwan telah mengumumkan kepada rakyatnya agar lebih waspada terhadap “infiltrasi di mana-mana” yang berasal dari China. Operasi ini melibatkan media yang didukung Beijing hingga serangan cyber terhadap pulau yang dianggap China sebagai wilayahnya.

“Kelompok hacker China telah menyusup ke badan-badan pemerintah dan penyedia layanan informasi untuk waktu yang lama,” kata Deputi Direktur Kantor Investigasi Cybersecurity dan Biro Investigasi Taiwan, Liu Chia-zung, dilansir Reuters, Rabu (19 Agustus 2020).

Menurut Chia-zung, hacker China melancarkan operasi yang bertujuan untuk mendapatkan dokumen dan data penting pemerintah.

“Beberapa data pemerintah mungkin bocor. Ini merupakan ancaman besar,” ujarnya.

Serangan dimulai pada awal 2018. Telah menargetkan puluhan lembaga pemerintah dan meretas email dari 6 ribu pejabat. Chia-zung mengatakan pihaknya belum dapat mengidentifikasi data apa yang telah dicuri karena para penyerang mampu menyembunyikan jejaknya.

Di antara organisasi yang diserang dan disusupi oleh dua kelompok hacker China termasuk empat perusahaan teknologi Taiwan yang memberikan layanan informasi kepada pemerintah.

Kantor Urusan Taiwan-China tidak menanggapi permintaan komentar terkait serangan cyber ini. Sementara pemerintah China rutin menyangkal keterlibatan dalam setiap upaya peretasan dan mengatakan akan menghukum pihak-pihak yang melakukannya.

Chia-zang mengatakan pemerintah Taiwan yakin dua kelompok hacker China yang terlibat langsung adalah Blacktech dan Taidoor. Dua kelompok yang menurut Taiwan mendapat dukungan Partai Komunis China. Penyerang menargetkan celah dalam sistem yang disediakan oleh penyedia layanan informasi pemerintah Taiwan.

“Instansi pemerintah harus meningkatkan pengawasan terhadap penyedia (layanan internet) mereka,” kata Chia-zung.

Industri Semikonduktor

Saat ini, pemerintah Taiwan sedang menyelidiki rantai pasokan (supply chain) layanan untuk melihat apakah ada perusahaan atau individu Taiwan yang telah bekerja sama dengan hacker China. Kabar serangan cyber ini semakin nyaring selama periode ketegangan yang terus meningkat antara kedua negara.

Serangan hacker China ke Taiwan pertama kali ditemukan Cycraft Technology, sebuah perusahaan cybersecurity yang berbasis di Taiwan.

Pekan lalu peneliti CyCraft, Chad Duffy,  mengungkapkan serangan hacker China menghantam industri semikonduktor berharga di Taiwan.

Semikonduktor adalah komponen vital dari peralatan manufaktur smartphone dan komputer. Pendapatan Taiwan dari industri semikonduktor mencapai US $ 87,6 miliar pada tahun 2019.

Menurut Duffy, hacker menargetkan setidaknya tujuh vendor di industri semikonduktor pada 2018 dan 2019, mencuri kode sumber dan perangkat lunak terkait chip. Berdasarkan informasi Cycraft, operasi peretasan memilih perusahaan komputasi yang terletak di kampus yang luas di barat laut Taiwan.

“Kami pertama kali menemukan serangan tersebut pada awal hingga pertengahan 2019, melalui layanan pemantauan MDR (Managed Detection and Response) kami,” kata Duffy dilansir Sunday Guardian Live, Sabtu (15 Agustus 2020).

(Cyberthreat/PARADE.ID)

Artikel Hacker China Serang Puluhan Lembaga Pemerintah dan Industri pertama kali tampil pada Parade.id.

Laporan yang untuk pertama kalinya dipublikasikan itu bertajuk “Taktik Korea Utara”, merupakan panduan manual taktis yang digunakan Angkatan Darat AS untuk melatih pasukan dan pemimpin militernya.

Laporan setebal 332 halaman berisi “harta karun” informasi tentang Tentara Rakyat Korea (KPA) seperti taktik militer, persenjataan, struktur kepemimpinan, jenis pasukan, logistik, dan kemampuan peperangan elektronik. Sebagian besar laporan membahas taktik dan kemampuan militer klasik. Termasuk menyoroti unit peretasan rahasia Korea Utara.

“Sebagian besar EW dan operasi peperangan cyber ada di dalam Unit Panduan Perang Siber Korut, lebih dikenal sebagai Biro 121,” kata Angkatan Darat AS dilansir ZDNet, Selasa (18 Agustus 2020).

Laporan itu menyebut semua hacker Korut sebagai Biro 121 – sebuah divisi dari Biro Umum Pengintaian, badan intelijen Korea Utara yang merupakan bagian dari Komisi Nasional Pertahanan.

Menurut Angkatan Darat AS, Biro 121 tumbuh secara eksponensial dalam beberapa tahun terakhir. Itu terjadi karena Korea Utara telah memperluas aktivitasnya di ruang cyber.

“Biro 121 terus bertumbuh, dari setidaknya 1.000 hacker elit pada tahun 2010 menjadi lebih dari 6.000 anggota saat ini”.

Jumlah temuan AS sesuai dengan angka yang diterbitkan Kementerian Pertahanan Korea Selatan, yang menyatakan Korea Utara mengoperasikan 3.000 staf perang cyber sejak tahun 2013. Jumlah itu kemudian meningkat dua kali lipat menjadi 6.000 pada tahun 2015. Namun, Angkatan Darat AS percaya bahwa saat ini angka 6.000 tersebut tidak sepenuhnya akurat.

“Jumlah ini mungkin jauh lebih tinggi sekarang: pada 2009, Universitas Mirim Korea Utara telah meluluskan sekitar 100 hacker per tahun untuk KPA,” kata Angkatan Darat AS.

Empat Sub–divisi

Pejabat Angkatan Darat AS mengatakan Biro 121 terdiri dari empat sub-divisi utama. Tiga sub-divisi khusus untuk perang cyber dan satu untuk perang elektronik.

1. Sub-divisi pertama disebut para komunitas keamanan siber sebagai Andariel Group. Adalah sebuah APT dan nama kode yang digunakan untuk menggambarkan unit peretasan yang disponsori negara-negara (state-sponsored hacker).

Pejabat Angkatan Darat AS mengklaim Grup Andariel memiliki sekitar 1.600 anggota “yang misinya adalah mengumpulkan informasi dengan melakukan pengintaian pada sistem komputer musuh dan membuat penilaian awal terhadap kerentanan jaringan.”

“Kelompok ini memetakan jaringan musuh untuk merencanakan serangan,” kata seorang pejabat Angkatan Darat AS.

2. Sub-divisi Biro 121 kedua dijuluki sebagai Grup Bluenoroff. Pejabat Angkatan Darat AS menyebut APT ini memiliki sekitar 1.700 peretas “yang misinya adalah melakukan kejahatan cyber di sektor keuangan dengan berkonsentrasi pada penilaian jangka panjang dan mengeksploitasi kerentanan jaringan musuh.”

3. Sub-divisi ketiga disebut sebagai Lazarus Group, istilah umum yang sekarang digunakan industri keamanan cyber untuk menggambarkan segala jenis peretasan umum yang dilakukan Korea Utara.

Pejabat Angkatan Darat AS mengatakan Lazarus adalah salah satu alat utama bagi para pejabat Korea Utara “untuk menciptakan kekacauan sosial dengan mempersenjatai kerentanan jaringan musuh dan mengirimkan muatan berbahaya”.

4. Sub-divisi Biro 121 keempat Resimen Jamming Perang Elektronik, yang terdiri dari tiga batalyon militer (antara 2.000 dan 3.000 tentara) yang bertanggung jawab atas gangguan peralatan elektronik. Biro 121 terakhir ini adalah unit militer klasik, yang dipercaya oleh pejabat Angkatan Darat AS beroperasi dari pangkalan militer di Kaesong, Haeja, dan Kumgang.

(Cyberthreat/PARADE.ID)

Artikel 6.000 Hacker Korea Utara Beroperasi di Berbagai Negara pertama kali tampil pada Parade.id.