Mengenal Naikon, Grup Hacker China yang Serang Indonesia

Negara Incaran Hacker China Naikon Pakai Aria-body.

Nama grup hacker Naikon kembali jadi buah mulut, setelah melancarkan serangan malware backdoor Aria-body yang menginfeksi komputer pemerintahan.

Padahal, selama lima tahun ke belakang nama Naikon tak muncul lagi dalam laporan-laporan keamanan siber.

Nama Naikon muncul pada 2015, saat mereka menyusup ke komputer pemerintah dan perusahaan nasional di negara-negara Asia Tenggara.

New York Times menyebutkan grup hacker Naikon berbasis di China.

Saat itu, Naikon terbilang aktif dengan melakukan aksi spionase siber ke negara-negara seperti Indonesia, Filipina, Malaysia, Kamboja, Vietnam, Myanmar, dan Nepal.

Malware yang mereka pakai ini bisa dikategorikan sebagai Advanced Persistent Threat (APT).

Checkpoint yang berbasis di Israel melaporkan Aria-body kembali dijalankan oleh Naikon dan beraksi di Australia dengan menunggangi email sebuah kedutaan negara Asia Pasifik.

Diduga, Naikon masih mengincar negara target sebelumnya seperti Indonesia, Australia dan sejumlah negara Asia Pasifik lainnya.

Mereka memakai backdoor baru yang membuatnya lolos dari pantauan.

Para ahli menemukan bahwa para aktor di belakang Naikon grup tampaknya berbahasa China dan bahwa target utama mereka adalah instansi pemerintah tingkat atas dan organisasi sipil serta militer.

Dalam laporan Kaspersky Lab, Naikon punya sejumlah keunggulan, yaitu :

• Di setiap negara yang menjadi target ada satu orang yang ditunjuk untuk menjadi operator, yang tugasnya adalah untuk mengambil keuntungan dari aspek budaya dari negara tersebut, seperti kecenderungan untuk menggunakan akun email pribadi untuk bekerja.

• Penempatan infrastruktur (server proxy) di dalam suatu negara dengan tujuan memberikan dukungan setiap saat untuk koneksi real-time dan data exfiltration.

• Setidaknya sudah lima tahun volume aktivitas serangan dilakukan secara tinggi kepada kalangan eksekutif penting dan geo-politik.

• Kemampuan untuk platform-independent code dan mencegat seluruh lalu lintas jaringan.

• Terdapat 48 perintah dalam susunan pelaksanaan yang berguna dari jarak jauh, termasuk perintah untuk melakukan inventarisasi secara lengkap, download dan upload data, menginstal add-on modul, atau bekerja sesuai dengan komando dari pusat.

Metode yang mereka pakai pada 2015 itu pun terbilang sama dengan serangan terbarunya ini.

Yaitu teknik spear-phishing yang tradisional menggunakan email berisi dokumen yang dirancang untuk menarik korban yang potensial.

Lampiran ini mungkin terlihat seperti dokumen Word, tetapi sebenarnya merupakan file executable dengan ekstensi ganda.

Saat di-download ada ekstensi lain yang diam-diam beroperasi dan membuka back door dari perangkat target menuju tim hacker Naikon. Malware inilah yang dinamakan Aria-body.