FIREEYE MENDAPATI KELOMPOK APT TIONGKOK MENYERANG MEDIA HONG KONG
FireEye, Inc. merilis hasil penelitiannya mengenai kampanye baru-baru ini yang dilakukan oleh sebuah kelompok ancaman dunia maya Tiongkok, yang disebut “admin@338″, yang menarget organisasi-organisasi media dengan basis di Hong Kong.
Pada bulan Agustus, kelompok ini mengirimkan email spear phishing mengenai perkembangan terbaru yang layak diberitakan berisi lampiran berbahaya kepada berbagai organisasi media di Hong Kong, termasuk surat kabar, radio, dan televisi.
Satu email menyebutkan pendirian organisasi masyarakat sipil Kristen yang bertepatan dengan peringatan protes 2014 di Hong Kong yang dikenal sebagai Gerakan Payung (Umbrella Movement). Email lainnya menyebutkan organisasi alumni Universitas Hong Kong yang mengkhawatirkan bahwa suara pemilih dalam referendum untuk mengangkat Wakil Kanselir akan dikooptasi oleh kepentingan pro-Beijing.
Kelompok ini menggunakan malware bernama LOWBALL yang menyalahgunakan Dropbox, sebuah layanan penyimpanan cloud yang sah, untuk tujuan perintah dan kontrol. Ketika para peneliti FireEye memperingatkan Dropbox perihal kegiatan kelompok ini, Dropbox segera memblokir token akses yang digunakan oleh LOWBALL. Dengan bertindak demikian, Dropbox memutus kemampuan perintah dan kontrol kelompok tersebut dalam semua versi malware tersebut yang teramati.
FireEye telah mengamati serangan-serangan bertarget khusus oleh berbagai kelompok ancaman di Tiongkok terhadap jurnalis pada organisasi media internasional dan domestik di Asia. Serangan-serangan ini sering kali difokuskan pada media yang berbasis di Hong Kong, khususnya yang menerbitkan material prodemokrasi. Jurnalis yang berada di Taiwan, Asia Tenggara, dan tempat lain di kawasan ini juga telah dijadikan target.
Gambar layar email spear phishing yang dikirim oleh admin@338 kepada jurnalis.
“Jurnalis-jurnalis di Asia sudah rutin menghadapi serangan dunia maya bertarget ini. Mereka bergantung pada informasi dari berbagai sumber, yang menjadikan mereka mudah ditarget. Informasi yang dimiliki jurnalis dan identitas sumber mereka dapat merupakan informasi intelijen yang berharga. Tanpa pertahanan teknologi yang memadai, mereka merupakan korban yang mudah dimangsa,” ucap Bryce Boland, kepala pejabat teknologi FireEye untuk Asia Pasifik.
FireEye telah melacak kegiatan admin@338 sejak tahun 2013. Kelompok ini terutama menarget organisasi-organisasi yang terlibat dalam kebijakan keuangan, ekonomi, dan perdagangan. FireEye pertama kalinya melihat kelompok ini menarget media pada bulan April 2015.
Kegiatan-kegiatan sebelumnya kelompok ini yang menyerang organisasi keuangan dan kebijakan terutama difokuskan pada email spear fishing yang ditulis dalam bahasa Inggris, dan ditujukan bagi pemirsa Barat. Namun, kampanye ini jelas dirancang untuk mereka yang dapat membaca skrip Tiongkok Tradisional, yang umum digunakan di Hong Kong.
Pada bulan April, FireEye merilis laporan tentang APT30, sebuah kelompok terkait Tiongkok yang sudah melakukan kampanye spionase dunia maya selama satu dekade di Asia Tenggara dan India. APT30 juga menarget jurnalis, tetapi FireEye belum melihat adanya kaitan langsung antara kelompok itu dan admin@338.
