TEMPO.CO, Jakarta- Sebuah perusahaan keamanan siber Belanda, Fox-IT, melaporkan bahwa kelompok hacker asal Cina, APT20, sedang mencoba menyerang 10 negara. Mereka berusaha mengkompromikan kredensial VPN sehingga mendapatkan akses lebih tinggi di seluruh jaringan korban.

Laman Gizmodo, Selasa, 24 Desember 2019, menyebutkan APT20 tahu bagaimana mem-bypass otentikasi dua faktor (2FA) dalam serangan terhadap target pemerintah dan industri.

"Kami telah mengidentifikasi korban kelompok ini di 10 negara, di entitas pemerintah, penyedia layanan terkelola, dan di berbagai industri, termasuk Energi, Perawatan Kesehatan, dan Teknologi Tinggi," tulis laporan itu, seperti dikutip laman ZDNet, baru-baru ini.

Target dilaporkan berada di hampir selusin negara, termasuk Brasil, Cina, Prancis, Jerman, Italia, Meksiko, Portugal, Spanyol, Inggris, dan AS. Meskipun memintas 2FA bukanlah hal yang tidak pernah terjadi, kecanggihan pelaku relatif jarang terjadi. Tidak sepenuhnya jelas bagaimana APT20 melakukannya.

Namun, ada satu teori yang menjelaskan bahwa APT20 mencuri token perangkat lunak RSA SecurID dari sistem yang diretas, kemudian digunakan di komputernya untuk menghasilkan kode satu kali yang valid dan memotong 2FA.

Biasanya, ini tidak mungkin dilakukan. Untuk menggunakan salah satu token perangkat lunak ini, pengguna perlu menghubungkan perangkat fisik (perangkat keras) ke komputer mereka.

Perangkat dan perangkat lunak token kemudian akan menghasilkan kode 2FA yang valid. Jika perangkat itu hilang, perangkat lunak RSA SecureID akan menghasilkan kesalahan.

Fox-IT mengatakan APT20 kemungkinan mengembangkan teknik bypass itu sendiri. Kelompok ini sebagian besar telah berhasil menghindari radar dengan mengandalkan saluran "sah", seperti akses VPN, untuk melakukan serangannya.

Setelah akses awal diperoleh, grup bergerak secara lateral dengan menggunakan backdoors khusus pada beberapa server, kata para peneliti. Dari sana, ia memulai proses pengumpulan data sensitif, jika bukan kredensial tambahan untuk membantu meningkatkan aksesnya.

Ketika selesai, hacker biasanya menghapus alat-alatnya dan file terkompresi yang dibuat untuk diekstraksi dan menghalangi penyelidikan forensik.
FOX-IT | GIZMODO | ZDNET