Toolset CloudScout, alat canggih yang digunakan oleh hacker untuk mengekstrak informasi sensitif. Alat ini beroperasi dengan mencuri cookie sesi, yang berfungsi sebagai token otentikasi untuk akun online. Jika penyerang berhasil memperoleh cookie ini, mereka dapat memperoleh akses tidak sah ke akun di platform seperti Google Drive, Gmail, dan Outlook, yang dapat mengakibatkan pelanggaran privasi dan pencurian data yang serius.
Toolset CloudScout dibangun di atas kerangka kerja (framework) .NET dan terdiri dari sepuluh modul yang berbeda. Tiga dari modul ini dirancang khusus untuk mengekstrak data dari Google Drive, Gmail, dan Outlook, sementara fungsi dari tujuh modul lainnya masih belum jelas. Ketidakjelasan ini menimbulkan kekhawatiran tentang potensi kemampuan toolset tersebut.
Evasive Panda menggunakan pendekatan multifaset dalam serangan mereka, memanfaatkan berbagai metode untuk mendapatkan akses awal. Metode ini termasuk mengeksploitasi kerentanan keamanan yang baru ditemukan dan mengompromikan rantai pasokan melalui teknik seperti poisoning DNS. Pendekatan strategis ini memungkinkan mereka menyusup ke jaringan dan menerapkan malware mereka, yang dikenal sebagai MgBot dan Nightdoor, sehingga memperluas jangkauan operasi mereka.
Setelah diaktifkan, toolset CloudScout dapat mengambil alih sesi yang telah diautentikasi dengan mencuri cookie, memungkinkan penyerang untuk mengakses layanan cloud yang ditargetkan. Informasi yang dikumpulkan mencakup berbagai data, seperti pesan email, lampiran, dan jenis file tertentu (misalnya, dokumen, spreadsheet, presentasi). Data ini kemudian dikompresi ke dalam arsip ZIP dan dieksfiltrasi melalui MgBot atau Nightdoor, menunjukkan upaya terkoordinasi untuk mengekstrak informasi sensitif.
Aspek penting dari toolset CloudScout adalah ketergantungannya pada paket yang disebut CommonUtilities. Paket ini menyediakan pustaka penting yang meningkatkan fungsionalitas modul-modulnya. Komponen kunci meliputi:
- HTTPAccess: Fungsi untuk mengelola komunikasi HTTP.
- ManagedCookie: Fungsi untuk menangani cookie selama permintaan web.
- Logger: Untuk mencatat aktivitas.
- SimpleJSON: Untuk mengelola data JSON.
Penggunaan pustaka kustom memungkinkan fleksibilitas dan kontrol yang lebih besar atas operasi alat dibandingkan dengan alternatif sumber terbuka standar.
Munculnya toolset CloudScout menyoroti meningkatnya kecanggihan aktivitas spionase siber, terutama dari kelompok yang didukung negara seperti Evasive Panda. Riwayat mereka dalam menargetkan berbagai organisasi, termasuk yang terkait dengan diaspora Tibet, menyoroti niat strategis di balik operasi mereka.
Sebagai respons terhadap ancaman semacam itu, perusahaan seperti Google memperkenalkan langkah-langkah keamanan baru, termasuk Device Bound Session Credentials (DBSC) dan App-Bound Encryption. Inovasi-inovasi ini bertujuan untuk mengurangi efektivitas malware pencurian cookie seperti CloudScout, meningkatkan perlindungan bagi pengguna.
Insiden ini merupakan indikasi dari tren yang lebih luas terkait peningkatan ancaman siber dari aktor yang didukung negara, khususnya dari Cina. Pemerintah Kanada baru-baru ini menunjukkan adanya kelompok canggih yang melakukan pengintaian ekstensif terhadap berbagai organisasi, termasuk departemen pemerintah dan infrastruktur kritis. Hal ini menyoroti perlunya praktik keamanan siber yang kuat di semua sektor.
Secara ringkas, meskipun toolset CloudScout mewakili ancaman signifikan, ini juga berfungsi sebagai pengingat penting tentang perlunya kewaspadaan dan langkah-langkah keamanan proaktif…
Salam
Edy Susanto
