Cyberthreat.id –  Pabrik mobil besar BMW dan Hyundai menjadi korban serangan siber pada musim semi lalu (antara Maret hingga Mei 2019). Serangan itu diduga dilakukan oleh kelompok peretas yang didukung negara, APT32 juga dikenal dengan Ocean Lotus a.k.a SeaLotus a.k.a APT-C-00.

Laporan pertama soal serangan itu ditulis dua media Jerman: Bayerischer Rundfunk danTaggesschau.

APT32 dikenal memang menyerang industri otomotif, tulis ZDNet. Di kalangan peretas, APT32 disinyalir memiliki hubungan dengan pemerintah Vietnam, tapi tudingan ini sejauh ini belum terbukti secara konkret.

Perusahaan keamanan siber (cybersecurity) asal California, Amerika Serikat, FireEye, di situs webnya yang diakses Minggu (8 Desember 2019), mengatakan telah mengamati pergerakan APT32 sejak 2014. Pada 2017, FireEye menyatakan, sejumlah kliennya di Vietnam mengalami penargetan aktif oleh APT32.

Geng tersebut menargetkan perusahaan asing seperti sektor manufaktur, produk konsumen, dan perhotelan di Vietnam. Selain itu, ada indikasi bahwa APT32 menargetkan keamanan jaringan periferal dan perusahaan infrastruktur teknologi.

Berikut ini jejak serangan APT32 yang diteliti oleh FirEye:

• Pada 2014, sebuah perusahaan Eropa diretas sebelum membangun fasilitas manufaktur di Vietnam.
• Pada 2016, sejumlah perusahaan Vietnam dan perusahaan milik asing yang bergerak di sektor keamanan jaringan, infrastruktur teknologi, perbankan, dan industri media juga menjadi sasaran.
• Pada pertengahan 2016, malware yang diyakini FireEye berkaitan dengan APT32 terdeteksi di jaringan pengembang industri perhotelan global dengan rencana untuk memperluas operasi ke Vietnam.
• Dari 2016 hingga 2017, dua anak perusahaan dari korporasi produk konsumen AS dan Filipina, yang berlokasi di Vietnam, menjadi target operasi intrusi APT32.

Serangan berbau politik

Selain memfokuskan penargetan sektor swasta yang memiliki hubungan dengan Vietnam, APT32 juga menargetkan pemerintah asing, bahkan aktivis dan jurnalis Vietnam setidaknya sejak 2013, tulis FireEye.

Berikut ini aktivitas serangan APT32 sejak 2014:

• Vietnam target industri jaringan keamanan (2014) dan media (2015 dan 2016) dengan malware Windshield.
• Jerman diserang sektor manufaktur (21014 dengan malware Windshield
• Filipina diserang dua kali pada 2016 dengan malware Windshield  (sektor perbankan) dan malware Komprogo, Windshield , Soundbite, dan Beacon untuk perusahaan barang jadi (konsumsi)
• China diserang pada 2016 yang menyasar perhotelan dan wisata dengan malware Windshield.
• Amerika Serikat diserang pada 2016 dengan target perusahaan barang jadi (konsumsi). Malware yang dipakai, antara lain Komprogo, Windshield , Soundbite, dan Beacon.

Target serangan yang berkaitan dengan politik, sebagai berikut:

• Sebuah blog publik yang diterbitkan oleh Electronic Frontier Foundation mengindikasikan bahwa jurnalis, aktivis, dan blogger ditargetkan pada 2013 oleh malware dan taktik yang konsisten dengan operasi APT32.
• Pada 2014, APT32 memanfaatkan lampiran spear-phishing berjudul “Rencana untuk menindak para pengunjuk rasa di Kedutaan Besar Vietnam.exe,” yang menargetkan aktivitas pemrotes di kalangan diaspora Vietnam di Asia Tenggara.
• Pada 2015, SkyEye Labs, divisi riset keamanan perusahaan China Qihoo 360, merilis laporan yang merinci aktor-aktor ancaman yang menargetkan entitas publik dan swasta China termasuk lembaga pemerintah, lembaga penelitian, agensi maritim, konstruksi laut, dan perusahaan pelayaran. Informasi yang termasuk dalam laporan menunjukkan bahwa para pelaku menggunakan malware yang sama, infrastruktur yang tumpang tindih, dan target yang serupa dengan APT32.
• Pada 2015 dan 2016, dua media Vietnam ditargetkan dengan malware milik FireEye.
• Pada 2017, konten rekayasa sosial dalam umpan yang digunakan oleh aktor memberikan bukti bahwa mereka kemungkinan digunakan untuk menargetkan anggota diaspora Vietnam di Australia serta pegawai pemerintah di Filipina.

FireEye mencatata, dalam kampanye terbaru, APT32 telah memanfaatkan file ActiveMime yang menggunakan metode rekayasa sosial untuk menarik korban agar mengaktifkan makro.

Setelah diklik target, file yang mengunduh banyak muatan berbahaya dari server jarak jauh. Para aktor APT32 merancang dokumen multibahasa yang dirancang khusus untuk para korban. Meskipun file memiliki ekstensi file ".doc", umpan phishing yang dipulihkan adalah arsip halaman web ActiveMime ".mht" yang berisi teks dan gambar.