Departemen Kehakiman AS telah mendakwa tujuh warga negara China sebagai peretasan yang menargetkan lebih dari 100 perusahaan game online dan teknologi tinggi. Pemerintah menuduh orang-orang tersebut menggunakan email phishing yang mengandung malware dan serangan “Supply Chain” untuk mencuri data dari perusahaan dan pelanggan mereka. Salah satu terduga peretas pertama kali diprofilkan pada tahun 2012 sebagai pemilik perusahaan antivirus China.
Kegiatan APT41 berlangsung dari pertengahan 2000 hingga saat ini. Awal tahun ini, grup tersebut terkait dengan kampanye malware yang sangat agresif yang mengeksploitasi kerentanan dalam produk jaringan yang banyak digunakan, termasuk Router Cisco dan D-Link, serta peralatan Citrix dan Pulse VPN. Firma keamanan FireEye menjuluki blitz peretasan itu sebagai “salah satu kampanye terluas yang dilakukan oleh aktor spionase dunia maya China yang kami amati dalam beberapa tahun terakhir”.
Pemerintah menuding kelompok itu memonetisasi akses terlarangnya dengan menyebarkan ransomware dan tools “cryptojacking” (menggunakan sistem yang terkompromi untuk menambang cryptocurrency seperti Bitcoin). Selain itu, geng tersebut menargetkan perusahaan video game dan pelanggan mereka dalam upaya untuk mencuri item digital berharga yang dapat dijual kembali, seperti poin, kekuatan, dan item lain yang dapat digunakan untuk meningkatkan pengalaman bermain game.
APT41 diketahui menyembunyikan malware-nya di dalam resume palsu yang dikirim ke target. Itu juga menyebarkan serangan rantai pasokan yang lebih kompleks, di mana mereka akan meretas perusahaan perangkat lunak dan memodifikasi kode dengan malware.
Anvisoft
Salah satu pria yang didakwa sebagai bagian dari APT41, Tan DaiLin berusia 35 tahun, adalah subjek dari cerita KrebsOnSecurity 2012 yang berusaha menjelaskan produk antivirus China yang dipasarkan sebagai Anvisoft. Pada saat itu, produk tersebut telah masuk dalam “whitelist” atau ditandai sebagai aman oleh vendor antivirus yang lebih mapan, meskipun perusahaan tersebut tampaknya tidak menanggapi keluhan pengguna dan pertanyaan tentang kepemimpinan dan asal-usulnya.
Anvisoft mengklaim berbasis di California dan Kanada, tetapi penelusuran pada nama merek perusahaan menemukan catatan pendaftaran merek dagang yang menempatkan Anvisoft di zona teknologi tinggi Chengdu di Provinsi Sichuan, China.
Tinjauan atas catatan pendaftaran situs web Anvisoft menunjukkan bahwa domain perusahaan awalnya dibuat oleh Tan DaiLin, seorang peretas China terkenal yang menggunakan alias “Wicked Rose” dan “Withered Rose”. Saat itu, DaiLin berusia 28 tahun.
Seperti dicatat oleh TechCrunch, setelah dakwaan diajukan, jaksa penuntut mengatakan bahwa mereka memperoleh surat perintah untuk menyita situs web, domain, dan server yang terkait dengan operasi grup, secara efektif menutupnya dan menghambat operasi mereka.
“Para peretas yang diduga masih diyakini berada di China, tetapi tuduhan tersebut berfungsi sebagai upaya hukuman sosial yang digunakan oleh Departemen Kehakiman dalam beberapa tahun terakhir terhadap penyerang dunia maya yang didukung negara,” tulis Zack Whittaker dari TechCrunch.
Source : KerbsOnSecurity