APT: Kelompok Ancaman Berbasis China Menyerang Pulse Secure VPN

  • Whatsapp
APT: Kelompok Ancaman Berbasis China Menyerang Pulse Secure VPN

 

Beberapa kelompok peretas yang seharusnya mendukung tujuan ekonomi jangka panjang Tiongkok terus berlanjut di jaringan industri pertahanan, teknologi tinggi, publik, transportasi, dan jasa keuangan di AS dan Eropa.
Banyak pelanggaran telah terjadi di mana serangan oleh aktor ancaman China menembus perangkat Pulse Secure VPN untuk membobol jaringan organisasi dan mencuri materi rahasia.
Sedangkan pada beberapa insiden lainnya penyerang memanfaatkan sepenuhnya kerentanan bypass otentikasi Pulse Connect Secure (PCS) (CVE-2021-22893) untuk masuk ke jaringan korban. Para penyusup juga menguasai kombinasi kerentanan yang diketahui sebelumnya. Sementara itu, bulan lalu, kegagalan dalam otentikasi bypass terdeteksi dan diperbaiki.
Mandiant mengeluarkan peringatan minggu ini – tentang aktivitas ancaman persisten lanjutan (APT) China untuk organisasi AS dan Eropa. Dalam peringatan tersebut, Mandiant telah berfokus pada baterai alat malware yang digunakan untuk mengatasi kerentanan pada perangkat Pulse Secure VPN pada dua organisasi yang berbasis di China: UNC2630 dan UNC2717. Mandiant mengatakan bahwa UNC2630 telah menargetkan kelompok industri militer AS dan UNC2717 telah menyerang entitas Uni Eropa.
“Aktivitas eksploitasi yang kami amati adalah gabungan dari penargetan sistem yang tidak ditambal dengan CVE dari 2019 dan 2020, serta CVE 2021 yang sebelumnya tidak ditambal (CVE-2021-22893),” kata Stephen Eckels, seorang insinyur balik di Mandiant. “Sejak laporan awal kami, Pulse Secure dan Mandiant telah bekerja sama, dan zero-day telah diperbaiki.”
“Saat ini, Pulse Secure telah menambal semua kerentanan yang diketahui,” tambah Eckels.
Dalam kasus tertentu, penyerang telah mengatur akun admin lokal mereka di server Windows penting untuk beroperasi secara bebas di jaringan target. Alih-alih bergantung pada titik akhir internal dari kerentanan keamanan, mereka menggunakan eksklusivitas cangkang web dan malware Pulse Secure.
UNC2630 dan UNC2717, menurut Mandiant, hanyalah dua dari berbagai kelompok yang mengancam Pulse Secure VPN yang tampaknya bekerja untuk kepentingan pemerintah China. Banyak kelompok menggunakan jumlah instrumen yang sama, tetapi strategi dan taktik mereka berbeda.
Sejauh ini belum ada konfirmasi bahwa pelaku ancaman telah memperoleh data Amerika yang akan memberikan keuntungan ekonomi bagi perusahaan China. Secara khusus, perjanjian 2012 antara Presiden Barack Obama dan mitra China Xi melarang spionase dunia maya atas data tersebut.
“Saat ini kami tidak dapat mengatakan bahwa mereka tidak melakukannya, hanya saja kami tidak memiliki bukti langsung bahwa mereka telah melanggar [the agreement],” kata Mandiant. “Beberapa entitas yang terkena dampak adalah perusahaan swasta yang akan memiliki kekayaan intelektual komersial, pencurian yang akan melanggar perjanjian. Kami hanya belum melihat bukti langsung dari jenis data yang dipentaskan atau dieksfiltrasi.”
Penilaian Mandiant tentang aktivitas ATP ganas China bertepatan dengan peringatan minggu ini dari Microsoft untuk Nobellum, aktor ancaman Rusia di balik serangan SolarWinds dan kampanye email yang ekstensif. Dalam kedua kasus tersebut, spionase siber tampaknya menjadi motif utama dalam mendukung tujuan strategis nasional.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *