Kelompok TIDRONE Serang Produsen Drone Taiwan dalam Aksi Siber

Seorang pelaku ancaman yang sebelumnya tidak teridentifikasi, yang kemungkinan memiliki keterikatan dengan kelompok yang berbahasa Tionghoa, telah secara khusus menargetkan produsen drone di Taiwan sebagai bagian dari kampanye serangan siber yang dimulai pada tahun 2024. Pelaku ini tampaknya beroperasi dengan metode yang terarah dan bertarget, menyoroti ketidakamanan yang ada dalam rantai pasokan industri pertahanan yang krusial dan meningkatkan risiko bagi investasi dan perkembangan teknologi di wilayah tersebut

Trend Micro, perusahaan keamanan siber yang terkemuka, sedang memantau aktivitas musuh ini dengan julukan TIDRONE. Mereka menegaskan bahwa motivasi di balik serangan ini adalah pengintaian, mengingat fokus yang jelas pada rantai industri yang berkaitan dengan militer dan teknologi defensif. Melalui serangan ini, TIDRONE tidak hanya bertujuan untuk mencuri informasi, tetapi juga berpotensi mengganggu kemampuan operasional dari mereka yang terlibat dalam pengembangan drone dan teknologi pertahanan lainnya.

Meskipun vektor akses awal yang digunakan untuk membobol target masih belum diketahui, analisis yang dilakukan oleh Trend Micro telah mengungkapkan bahwa malware khusus seperti CXCLNT dan CLNTEND dikerahkan melalui alat remote desktop seperti UltraVNC. Banyaknya penggunaan alat seperti ini menunjukkan tingkat keahlian yang tinggi dan strategi yang matang dari pelaku, yang mampu memanipulasi dan mengeksploitasi kelemahan perangkat lunak untuk mendapatkan akses tanpa terdeteksi ke dalam sistem yang terinfeksi.

Satu kesamaan menarik yang ditemukan di antara berbagai korban adalah adanya perangkat lunak perencanaan Enterprise Resource Planning (ERP) yang sama, yang mengisyaratkan kemungkinan serangan rantai pasokan yang lebih luas. Hal ini menimbulkan pertanyaan serius tentang kerentanan yang ada dalam sistem yang digunakan oleh perusahaan-perusahaan ini dan memperlihatkan potensi serangan yang dapat membahayakan banyak entitas yang beroperasi dalam jaringan teknologi dan pertahanan.

Seiring dengan perkembangan serangan ini, rantai serangan melalui tiga tahap berbeda dirancang untuk memfasilitasi eskalasi hak istimewa melalui penghindaran User Acces Control (UAC), pengambilan kredensial, dan penghindaran pertahanan dengan menonaktifkan produk antivirus yang terpasang di host. Taktik ini menunjukkan pemahaman pelaku yang mendalam tentang struktur keamanan yang ada dan kemampuan mereka untuk memanipulasi elemen-elemen ini demi mencapai tujuan mereka.

Kedua backdoor ini diinisiasi dengan cara menyisipkan DLL jahat melalui aplikasi Microsoft Word, memungkinkan para pelaku ancaman untuk mengumpulkan berbagai jenis informasi sensitif, termasuk tetapi tidak terbatas pada data pengguna, dokumen penting, dan kredensial yang dapat dieksploitasi untuk serangan lebih lanjut. Strategi ini tidak hanya memperkuat kemampuan pengintaian mereka tetapi juga menciptakan lapisan perlindungan tambahan bagi mereka untuk melakukan serangan lebih jauh tanpa terdeteksi.

CXCLNT dilengkapi dengan kemampuan mengunggah dan mengunduh file dasar, yang berfungsi sebagai alat dasar bagi pelaku ancaman untuk mengeksfiltrasi data dan memanipulasi file di dalam sistem yang disusupi. Di luar fungsinya yang sederhana, CXCLNT menyertakan fitur-fitur canggih yang memungkinkannya untuk menutupi jejaknya dengan membersihkan jejak aktivitas jahat, yang sangat penting untuk mempertahankan persistensi dalam lingkungan target. 

Selain itu, ia memiliki kapasitas untuk mengumpulkan informasi korban yang penting seperti daftar file yang komprehensif dan mengidentifikasi nama komputer, yang meningkatkan pemahaman pelaku ancaman tentang arsitektur sistem target. Untuk meningkatkan vektor serangannya, CXCLNT dapat mengunduh file portable executable (PE) dan DLL tahap berikutnya untuk dieksekusi, memfasilitasi operasi berbahaya tambahan yang selanjutnya dapat membahayakan integritas sistem yang terpengaruh. 

CLNTEND, pertama kali terdeteksi pada April 2024, adalah alat akses jarak jauh (RAT) yang baru ditemukan yang secara signifikan memperluas kemampuan pendahulunya dengan mendukung beragam protokol jaringan untuk komunikasi. Ini tidak hanya mencakup TCP dan HTTP yang ada di mana-mana, yang merupakan standar di banyak aplikasi jaringan, tetapi juga protokol yang lebih berfokus pada keamanan seperti HTTPS dan TLS, memungkinkan komunikasi terenkripsi yang dapat mengaburkan aktivitas pelaku ancaman dari alat pemantauan keamanan. Selain itu, CLNTEND dapat memanfaatkan SMB (port 445), vektor yang sering diabaikan, yang memungkinkannya mengeksploitasi pembagian jaringan dan mendapatkan akses tidak sah ke data sensitif di seluruh lingkungan jaringan lokal.

Seperti yang dicatat oleh peneliti keamanan Pierre Lee dan Vickie Su, “Konsistensi dalam waktu kompilasi file dan waktu operasi aktor ancaman dengan aktivitas terkait spionase Tiongkok lainnya mendukung penilaian bahwa kampanye ini kemungkinan besar dilakukan oleh kelompok ancaman berbahasa Mandarin yang belum teridentifikasi.” 

Keterkaitan dengan kampanye spionase domestik ini menunjukkan bahwa para pelaku ancaman tidak hanya canggih dalam metode mereka tetapi juga mungkin merupakan bagian dari agenda geopolitik yang lebih besar, yang berpotensi menargetkan industri atau sektor tertentu yang selaras dengan kepentingan negara. Penyelidikan yang sedang berlangsung terhadap alat-alat ini sangat penting karena menjelaskan lanskap ancaman siber yang terus berkembang dan bahaya terus-menerus yang ditimbulkan oleh aktor-aktor yang disponsori negara.