Serangan Rahasia dari Negeri Tirai Bambu



Serangan Rahasia dari Negeri Tirai Bambu - credit: darkreading - pibitek.biz - File

credit: darkreading


336-280
TL;DR
  • Mustang Panda menyerang lembaga pemerintahan Asia Tenggara menggunakan VS Code.
  • Serangan siber ini memanfaatkan fitur "Tunnel" di VS Code untuk masuk ke sistem target.
  • Penggunaan VS Code untuk serangan menunjukkan bahwa aplikasi yang aman pun bisa jadi senjata peretas.

pibitek.biz -Sebuah teknik baru untuk memanfaatkan kelemahan di VS Code, editor kode sumber milik Microsoft, baru saja terungkap. Pelakunya? Tidak lain adalah Mustang Panda, grup peretas yang punya hubungan erat dengan pemerintah China. Mustang Panda, yang punya segudang nama samaran seperti Stately Taurus, Bronze President, RedDelta, Luminous Moth, Earth Preta, dan Camaro Dragon, udah dikenal sebagai pemain lama di dunia peretasan. Mereka udah beraksi selama 12 tahun, dan punya reputasi buruk karena sering nyuri data rahasia dari pemerintahan, organisasi internasional, dan kelompok agama di Asia dan Eropa.

VS Code sendiri, editor kode sumber buatan Microsoft yang gratis, udah jadi favorit para developer. Baik pemula maupun yang udah pro. Dalam survey yang dilakukan oleh Stack Overflow di tahun 2023, VS Code menang telak sebagai IDE (Integrated Development Environment) paling populer, disukai oleh 78% pemula dan 74% developer profesional. Saingannya, Visual Studio, cuma dipilih 28% pengguna. Awalnya, kelemahan di VS Code, yang diungkap oleh peneliti keamanan siber di tahun 2023, cuma dianggap sebagai bahan eksperimen.

Tapi sekarang, Mustang Panda menunjukkan kalau kelemahan ini bisa jadi senjata yang mematikan. Mereka memanfaatkan fitur VS Code yang bernama "Tunnel" untuk masuk ke sistem target, sebuah lembaga pemerintahan di Asia Tenggara. Fitur "Tunnel" di VS Code, yang dirilis di tahun 2023, memungkinkan pengguna berbagi lingkungan VS Code secara online. Aksesnya bisa dikontrol dengan akun GitHub, yang cukup aman, kan? Tapi sayangnya, di sini ada celahnya. Pelaku kejahatan siber yang punya akses ke akun GitHub korban bisa menginstal VS Code secara diam-diam di komputer korban.

Karena VS Code adalah aplikasi resmi Microsoft yang sudah ditandatangani, aplikasi ini bebas dari kecurigaan software keamanan. Dan yang lebih parah, VS Code yang "berkedok" aplikasi resmi ini, bisa digunakan untuk mengeksekusi perintah dan kode berbahaya, sama seperti reverse shell. Caranya gampang banget. Pelaku kejahatan siber tinggal menjalankan perintah "code.exe tunnel". Setelah itu, halaman otentikasi GitHub akan muncul. Pelaku bisa login pakai akunnya sendiri. Kemudian, mereka bisa mengakses lingkungan VS Code yang terhubung ke sistem korban.

Selesai deh, jalan menuju komputer target terbuka lebar. Mustang Panda memanfaatkan trik ini untuk melakukan pengintaian, menanamkan malware, dan yang paling penting, mencuri data rahasia milik korban. Unit 42, tim riset keamanan siber dari Palo Alto Networks, menyebutkan bahwa penggunaan VS Code untuk menyerang bukanlah sebuah celah keamanan. Justru, itu adalah penyalahgunaan fitur resmi yang sering terjadi di banyak software. Meskipun demikian, organisasi bisa melakukan beberapa langkah untuk melindungi diri dari serangan jenis ini.

Salah satunya adalah memburu indikator kompromi (IoCs), yaitu tanda-tanda yang menunjukkan bahwa sistem telah diretas. Selain itu, organisasi juga bisa membatasi atau mencegah penggunaan VS Code di komputer karyawan yang bukan developer. Cara ini bisa mengurangi potensi serangan. Cara terakhir, organisasi bisa membatasi akses ke domain '.tunnels.api.visualstudio[.]com' atau '.devtunnels[.]ms'. Domain ini merupakan domain resmi VS Code, tapi memblokir aksesnya akan mencegah penggunaan fitur "Tunnel" dan mengurangi ketertarikan pelaku kejahatan siber.

Unit 42 juga menemukan sekelompok peretas lain yang menyerang target yang sama. Kelompok ini menggunakan imecmnt.exe, file resmi Microsoft yang terkait dengan Input Method Editor (IME), untuk menginstal ShadowPad, backdoor yang sudah berumur 7 tahun dan sering digunakan oleh peretas China. Serangan ShadowPad terjadi pada waktu yang sama dengan serangan VS Code, bahkan sering menyerang komputer yang sama. Meskipun demikian, peneliti tidak bisa menentukan dengan pasti apakah kelompok peretas kedua ini terkait dengan Mustang Panda.

Mungkin saja, kedua kelompok berkolaborasi atau saling memanfaatkan akses yang sudah mereka dapatkan. Serangan Mustang Panda menunjukkan bahkan aplikasi yang dianggap aman pun bisa dijadikan senjata oleh pelaku kejahatan siber. Maka dari itu, organisasi harus selalu waspada dan meningkatkan keamanan sistem mereka. Jangan pernah meremehkan ancaman siber, karena setiap hari selalu ada teknik baru yang digunakan oleh para peretas untuk meretas sistem dan mencuri data berharga.