- Malanta.ai mengungkap infrastruktur kejahatan siber berusia 14 tahun di Indonesia, yang menyerupai operasi yang disponsori negara
- Jaringan ini mencakup lebih dari 320 ribu domain, subdomain pemerintah yang dibajak, dan ribuan aplikasi Android yang sarat malware.
- Kampanye mencuri lebih dari 50 ribu kredensial perjudian, menggunakan AWS dan Firebase untuk C2, sehingga meningkatkan kecurigaan negara
Peneliti keamanan telah menemukan infrastruktur kejahatan dunia maya yang sangat besar di Indonesia yang telah beroperasi terus menerus selama lebih dari 14 tahun.
Durasi operasi, domain yang terlibat, malware yang diedarkan, dan data yang dijual di pasar gelap semuanya begitu besar sehingga para peneliti – Malanta.ai – mengatakan bahwa kampanye tersebut lebih mirip kampanye negara-bangsa daripada penjahat dunia maya “biasa”.
“Apa yang dimulai sebagai situs perjudian sederhana telah berkembang menjadi infrastruktur serangan global, didanai dengan baik, canggih, dan disponsori negara yang beroperasi di web, cloud, dan seluler,” kata Malanta dalam blog yang baru-baru ini diterbitkan.
Apakah pemerintah terlibat?
Menurut laporan tersebut, operasi tersebut aktif setidaknya sejak tahun 2011. Operator mengendalikan lebih dari 320.000 domain, dengan lebih dari 90.000 diretas dan dibajak. Mereka juga mengendalikan lebih dari 1.400 subdomain yang disusupi, dan membeli 236.000 – semuanya digunakan untuk mengarahkan pengguna ke platform perjudian ilegal.
Lebih buruk lagi, beberapa subdomain yang disusupi berada di server pemerintah dan perusahaan. Dalam beberapa kasus, pelaku ancaman menggunakan proxy terbalik berbasis NGINX untuk mengakhiri koneksi TLS ke nama domain pemerintah yang sah, sehingga menyamarkan lalu lintas C2 mereka sebagai komunikasi pemerintah yang sah.
Lalu, ada ekosistem malware – para peneliti menemukan “ribuan” aplikasi Android berbahaya, didistribusikan di seluruh infrastruktur publik (bucket Amazon Web Services S3).
Aplikasi-aplikasi ini bertindak sebagai dropper, menyamar sebagai platform perjudian yang sah sambil menyebarkan malware yang memberikan akses penuh ke perangkat yang disusupi di latar belakang. Pintu belakang menerima perintah mereka langsung dari infrastruktur publik lainnya – layanan pesan cloud Firebase Google.
Hal ini mengakibatkan lebih dari 50.000 kredensial login dari platform perjudian dicuri, perangkat Android yang terinfeksi tak terhitung jumlahnya, dan subdomain yang dibajak menjelajahi web gelap.
“Bagaimana jika ekosistem ini bukan hanya kejahatan dunia maya?” Para peneliti berspekulasi.
Secara umum, cakupan, skala, dan dukungan finansial di balik infrastruktur ini lebih sesuai dengan kemampuan yang biasanya dikaitkan dengan pelaku ancaman yang disponsori negara.
melalui Berita keamanan siber
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan Tambahkan kami sebagai sumber daya pilihan Untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok Dapatkan berita, review, unboxing dalam bentuk video, dan update rutin dari kami Ada apa Juga
