Jnews.co.id – Badan intelijen Belanda telah memperingatkan tentang tren yang berkembang dari aktor ancaman yang menargetkan perangkat canggih, seperti VPN, server email, dan firewall, dengan pengungkapan zero-days baru-baru ini di Ivanti VPN yang memberikan kesempatan kepada pelaku ancaman untuk menyusup ke jaringan.
Peringatan itu muncul setelah jaringan pertahanan Belanda disusupi oleh mata-mata yang didukung negara China menggunakan malware baru untuk mencuri informasi sensitif. Badan Intelijen dan Keamanan Militer (MIVD) mengidentifikasi aktor yang disponsori China sebagai penyerang.
“MIVD &; AIVD menilai dengan keyakinan tinggi bahwa aktivitas jahat itu dilakukan oleh aktor yang disponsori negara dari Republik Rakyat Tiongkok. Ini adalah bagian dari tren spionase politik China yang lebih luas terhadap Belanda dan sekutunya.”
Dilaporkan, aktor spionase cyber China menargetkan militer Belanda dengan mengeksploitasi cacat perangkat FortiGate untuk terhubung dari jarak jauh ke jaringan. Intrusi awal dimulai dengan eksploitasi CVE-2022-42475, kerentanan zero-day yang diperingatkan Fortinet sedang dieksploitasi oleh aktor tingkat lanjut. Setelah infiltrasi, aktor ancaman Tiongkok mengerahkan RAT baru yang “tersembunyi dan gigih” yang disebut Coathanger.
RAT diinstal pada perangkat FortiGate menggunakan kerentanan berdampak tinggi (CVE-2022-42475) pada Desember 2022. Malware ini bertujuan untuk mempertahankan akses jaringan, berpotensi menggunakan RAT dalam kombinasi dengan kerentanan perangkat FortiGate.
Aktor melakukan pengintaian jaringan R&D dan mengeksfiltrasi daftar akun pengguna dari server Active Directory. Namun, dampak intrusi terbatas karena segmentasi jaringan yang ditargetkan dari jaringan MOD yang lebih luas. Para pembela militer Belanda menggagalkan plot spionase cyber dan sistemnya sendiri tidak menyebabkan kerusakan tambahan.
Pembuktian lebih lanjut mengungkapkan bahwa malware Coathanger yang belum dipublikasikan telah dirancang khusus untuk peralatan FortiGate. Ini adalah RAT tersembunyi dan gigih bersembunyi melalui panggilan sistem dan bertahan reboot dan upgrade firmware. Malware tahap kedua ini dinamai berdasarkan frasa yang digunakan untuk mengenkripsi konfigurasi disk- ‘Dia mengambil mantelnya dan menggantungnya.’
Setelah menginfeksi perangkat FortiGate, malware terhubung ke server C2 melalui SSL yang menyediakan shell terbalik BusyBox. Setiap kerentanan yang dipublikasikan atau tidak dipublikasikan dapat dimanfaatkan untuk akses jaringan awal, dengan Coathanger berfungsi sebagai backdoor sesudahnya.
Perlu dicatat bahwa Belanda telah secara terbuka mengkritik Beijing atas peretasan yang disponsori negara untuk pertama kalinya. Menteri Pertahanan negara itu Kajsa Ollongren menekankan pentingnya merilis laporan teknis tentang metode peretas China secara publik, yang bertujuan untuk meningkatkan ketahanan internasional terhadap spionase dunia maya.
“Untuk pertama kalinya, MIVD telah memilih untuk mempublikasikan laporan teknis tentang metode kerja peretas China. Penting untuk mengaitkan kegiatan spionase semacam itu oleh Tiongkok,” kata Ollongren.
MIVD memberi tahu Fortinet PSIRT tentang keberadaan malware tersebut. Untuk mengurangi ancaman ini, organisasi harus secara teratur melakukan analisis risiko, membatasi akses internet, menganalisis log untuk aktivitas anomali, menginstal pembaruan keamanan vendor, dan mengganti perangkat keras dan perangkat lunak yang sudah ketinggalan zaman. Ini akan membantu melindungi dari potensi serangan terhadap perangkat publik yang terhubung ke internet.
