Periset Check Point mengungkap operasi spionase siber yang membidik pemerintahan di Asia Pasifik.
Yang mengejutkan, operasi yang dilakukan oleh Naikon ini sudah digelar selama lima tahun terakhir dan masih berlangsung saat ini. Naikon adalah kelompok yang melancarkan ancaman siber berjenis advanced persistent threat (APT) terhadap kalangan pemerintah di kawasan Asia Pasifik.
Keberadaan kelompok ini pertama kali dilaporkan pada tahun 2015. Kelompok ini bertanggung jawab atas serangan terhadap pejabat pemerintah dan organisasi terkait di negara-negara di kawasan Laut China Selatan. Tujuan mereka saat itu adalah memperoleh political intelligence. Namun selama 2015, keberadaan Naikon tidak terlacak, tidak ada bukti bari maupun laporan mengenai aktivitas mereka sampai hari ini.
Para periset Check Point berhasil mengungkap bahwa kelompok ini tidak saja aktif selama lima tahun terakhir tetapi juga melakukan akselerasi aktivitas spionase sibernya pada tahun 2019 dan kuartal satu 2020. Metode serangan Naikon adalah melakukan infiltrasi ke tubuh pemerintahan, lalu memanfaatkan kontak, dokumen, dan data yang berhasil mereka ambil untuk menyerang bagian-bagian lain dalam satu pemerintahan.
Cara Kerja Serangan Naikon
Keberadaan kelompok ini tercium ketika periset Check Point menyelidiki sebuah email yang membawa dokumen terinfeksi. Email tersebut dikirimkan oleh kedutaan salah satu negara di Asia Pasifik ke pemerintah Australia. Dokumen yang terinfeksi itu membawa exploit yang bila dibuka akan menyusup ke dalam komputer milik user dan mencoba mengunduh backdoor malware baru bernama ‘Aria-body’ dari server web yang digunakan Naikon. Ketika malware ini berhasil diunduh, Naikon pun memperoleh akses jarak jauh terhadap PC maupun yang terinfeksi..
Investigasi mendalam oleh Check Point mengungkapkan adanya rantai penularan lain yang digunakan untuk memasukkan backdoor Aria-body melalui tiga langkah saja:
1.Meniru dokumen resmi pemerintah untuk mengelabui penerima.
Naikon membuat email dan dokumen yang memuat informasi yang menarik perhatian penerima yang disasar. Informasi itu didapat dengan cara mencuri dari sistem lain.
2.Menginfeksi dokumen dengan malware untuk menyusup ke sistem yang disasar
Naikon memasang malicious downloader pada dokumen agar penerima secara tidak sadar mengunduh Aria-body backdoor, yang akan membukakan akses bagi Naikon ke jaringan yang dibidik.
3.Menggunakan server milik pemerintah untuk mengontrol dan melakukan serangan
Periset menemukan bahwa Naikon menggunakan infrastruktur dan server korban untuk melakukan serangan baru sehingga sumber serangan yang sebenarnya tidak terdeteksi. Misalnya, Check Point menemukan satu server milik Departemen Sains & Teknologi milik Pemerintah Filipina digunakan untuk melancarkan serangan.
Serang Asia Pasifik
Naikon terus menerus membidik negara-negara di kawasan dengan geografi yang sama, yaitu Australia, Indonesia, Filipina, Vietnam, Thailand, Myanmar, dan Brunei. Kelompok ini khusus menyasar Kementrian Luar Negeri, Sains dan Teknologi, serta badan usaha milik negara. Check Point meyakini bahwa motif dari serangan ini adalah mengumpulkan informasi intelijen terkait geo politik.
Lotem Finkelsteen, Threat Intelligence Manager, Check Point, memaparkan, "Naikon mencoba menyerang salah satu pelanggan kami dengan menyamar sebagai pemerintah asing, inilah saat mereka terpantau dalam radar kami setelah menghilang selama lima tahun, dan kami memutuskan untuk menyelidiki lebih jauh. Hasil riset kami menungkap bahwa Naikon adalah kelompok APT dari China yang sangat canggih dan termotivasi. Yang mendorong mereka adalah keinginan mengumpulkan data intelijen dan memata-matai berbagai negara dan selama lima tahun terakhir mereka diam-diam mengembangkan kemampuan dan memperkenalkan senjata siber jenis baru yaitu Aria-body backdoor. Untuk menghindari deteksi, mereka memanfaatkan eksploit-eksploit yang biasa dihubungkan dengan banyak kelompok APT lainnya dan menggunakan server korban sebagai command & control centers. Kami mempublikasikan riset ini sebagai peringatan dan sumber bagi entitas pemerintahan dalam mengidentifikasi aktivitas Naikon atau kelompok hacker lainnya."
Check Point juga menawarkan solusi khusus SandBlast Agent untuk melindungi sistem dari serangan APT dari sejak awal serangan dilancarkan.