Sebuah kelompok peretasan yang berbasis di Vietnam belajar dari pedoman China, menggunakan serangan cyber yang semakin canggih untuk memata-matai pesaing dan membantu Vietnam mengejar pesaing global, menurut pakar keamanan cyber.
Dalam dua tahun terakhir, kelompok itu, yang dikenal sebagai APT32 dan diyakini terkait dengan pemerintah Vietnam, telah meningkatkan spionase dunia maya, khususnya di Asia Tenggara, menurut perusahaan keamanan dunia maya CrowdStrike Inc. Eksploitasi kelompok peretas itu termasuk pencurian kekayaan intelektual, kata perusahaan itu, aktivitas yang sama yang membuat peretas China terkenal.
Industri otomotif telah menjadi target utama untuk APT32, menurut beberapa ahli. Misalnya, APT32 menciptakan domain palsu untuk Toyota Motor Corp dan Hyundai Motor Co dalam upaya untuk menyusup ke jaringan pembuat mobil, menurut seorang peneliti yang akrab dengan masalah yang meminta anonimitas membahas perusahaan.
Pada bulan Maret, Toyota menemukan bahwa itu ditargetkan di Vietnam dan Thailand dan melalui anak perusahaan – Toyota Tokyo Sales Holdings Inc – di Jepang, menurut juru bicara Brian Lyons. Seorang pejabat Toyota, yang meminta anonimitas membahas kelompok peretasan, menegaskan bahwa APT32 bertanggung jawab.
Vietnam juga telah menargetkan bisnis Amerika yang relevan dengan ekonomi Vietnam, termasuk industri produk konsumen, selama bertahun-tahun, menurut para ahli.
“Apa yang berubah baru-baru ini, dan ini konsisten dengan tren yang lebih luas dalam lanskap aktor ancaman siber, adalah bahwa mereka menjadi lebih baik dan lebih baik dalam hal itu,” kata Andrew Grotto, seorang rekan di Universitas Stanford yang menjabat sebagai direktur senior untuk kebijakan keamanan siber di Dewan Keamanan Nasional dari akhir 2015 hingga pertengahan 2017.
“Mereka menjadi lebih mahir dalam mengembangkan alat mereka sendiri, sementara pada saat yang sama memanfaatkan pasar malware global untuk alat komersial.”
Peningkatan aktivitas spionase ekonomi Vietnam, yang dimulai pada 2012 dan melonjak sejak 2018 menurut CrowdStrike, terjadi ketika pemerintahan Trump berusaha untuk mengekang apa yang diyakini banyak orang sebagai pencurian kekayaan intelektual yang merajalela oleh China – mantan direktur Badan Keamanan Nasional Keith Alexander, yang bertugas di bawah presiden Barack Obama dan George W. Bush, menyebutnya sebagai “transfer kekayaan terbesar dalam sejarah”.
Keunggulan Kompetitif
Para peretas Vietnam telah meniru beberapa metode cyber China, meskipun dalam skala yang jauh lebih kecil, kata para ahli.
Peretas pemerintah Vietnam kemungkinan telah “melihat betapa suksesnya China dalam membangun kemampuan spionase cyber dan kemampuan pengawasan cyber,” menurut Eric Rosenbach, co-direktur Belfer Centre for Science and International Affairs di Harvard Kennedy School dan mantan asisten menteri pertahanan untuk keamanan global di bawah Obama. Akibatnya, mereka mungkin membangun atau membeli kemampuan mereka sendiri “baik untuk kepentingan ekonomi atau pencurian langsung kekayaan intelektual”, katanya.
Kementerian luar negeri Vietnam dan kedutaan Vietnam di Washington tidak menanggapi permintaan komentar. Seorang juru bicara pemerintah sebelumnya mengatakan tuduhan bahwa peretas yang selaras dengan negara menargetkan pembuat mobil asing “tidak berdasar”. Seorang perwakilan untuk Departemen Luar Negeri AS menolak mengomentari tuduhan tentang spionase ekonomi oleh Vietnam.
Seorang perwakilan Hyundai tidak mengomentari apakah itu telah ditargetkan oleh kelompok peretas Vietnam, tetapi mengatakan bahwa perusahaan “segera mendeteksi dan menanggapi peristiwa sekuritas TI-nya”. Vietnam adalah bagian dari kelompok negara yang berkembang – di luar pemain siber utama seperti Rusia dan Tiongkok – yang mengembangkan dan membeli kemampuan siber, demikian menurut mantan pejabat pemerintah.
“Salah satu tren yang kami lacak ketika saya berada di Gedung Putih adalah perluasan jumlah negara yang memiliki program cyber aktif,” kata Michael Daniel, yang menjabat sebagai koordinator cybersecurity di Dewan Keamanan Nasional di bawah Obama dan sekarang presiden dan chief executive officer dari kelompok nirlaba Cyber Threat Alliance.
“Orang-orang yang telah berinvestasi di dunia maya seperti Vietnam terus tumbuh dalam kemampuan.”
Pakar keamanan cyber menawarkan alasan yang berbeda, dan terkadang bertentangan, untuk menjelaskan kegiatan kelompok peretasan, mulai dari mencuri kekayaan intelektual untuk meningkatkan produk Vietnam hingga mendapatkan keunggulan kompetitif dalam negosiasi untuk memastikan perusahaan asing mematuhi peraturan nasional.
Teratai Laut
Perusahaan keamanan cyber FireEye Inc telah melacak APT32 – yang juga dikenal sebagai Ocean Lotus dan Ocean Buffalo – sejak 2012, menurut Nick Carr, seorang direktur di perusahaan tersebut.
Pada tahun 2017, timnya menyelidiki serangkaian peretasan di AS, Jerman, dan beberapa negara di Asia dan menemukan bahwa kelompok tersebut telah menghabiskan setidaknya tiga tahun menargetkan pemerintah asing, jurnalis, pembangkang, dan “perusahaan asing dengan kepentingan pribadi di sektor manufaktur, produk konsumen, dan perhotelan Vietnam”.
“APT32 memanfaatkan rangkaian unik malware berfitur lengkap, bersama dengan alat yang tersedia secara komersial, untuk melakukan operasi yang ditargetkan yang selaras dengan kepentingan negara Vietnam,” lapor FireEye.
Taktik yang sedang berlangsung oleh APT32 tampaknya termasuk mendaftarkan domain yang menyerupai perusahaan mobil – sebuah langkah yang dapat mendahului serangan phishing, di mana kredensial dicuri oleh peretas untuk mengakses jaringan internal, kata John Hultquist, direktur analisis intelijen FireEye.
“Baru-baru ini, kami telah melihat dugaan aktivitas pendaftaran domain APT32 yang dirancang menyerupai perusahaan otomotif,” kata Hultquist. “Kegiatan pendaftaran yang sedang berlangsung ini menegaskan minat APT32 yang berkelanjutan pada pembuat mobil asing yang melakukan bisnis di Vietnam.”
APT32 baru-baru ini menggunakan Facebook untuk menargetkan individu yang aktif dalam politik Vietnam, menurut perusahaan keamanan cyber yang berbasis di Slovakia, Eset. Dalam serangan ini, peretas APT32 mengirim pesan Facebook, atau halaman Facebook, yang berisi apa yang tampak seperti album foto. Ketika korban menelusuri album, salah satu dari banyak foto sebenarnya adalah dokumen berbahaya yang menginstal malware di komputer, kata Marc-Etienne M.Leveille, seorang peneliti di perusahaan tersebut.
Menargetkan para pembangkang telah menjadi bagian dari kampanye pengawasan luas yang mencakup peretasan ke situs web yang populer dengan warga yang aktif secara politik dan kemudian menggunakan situs-situs itu untuk melacak mereka dan mengumpulkan informasi, kata Steven Adair, pendiri perusahaan keamanan cyber Volexity.
Volexity melaporkan bahwa APT32 melakukan “kampanye pengawasan dan serangan digital massal yang sangat canggih dan sangat luas” yang menargetkan negara-negara Asia, media, kelompok yang terkait dengan hak asasi manusia dan masyarakat sipil, serta ASEAN.
Kisah Mini-China
Sementara peretasan Vietnam terhadap perusahaan tampaknya meningkat, FireEye telah melihat penurunan besar dalam pencurian IP China terhadap perusahaan – bahkan ketika pembicaraan perdagangan AS dengan China telah menekankan negosiasi untuk mengakhirinya.
“Dari perspektif China, kami pasti telah melihat penurunan besar-besaran dari itu,” kata Hultquist dari FireEye.
Tetapi Vietnam berada pada tahap perkembangan yang jauh lebih awal dan, seperti yang dilakukan China bertahun-tahun yang lalu, telah beralih ke spionase dunia maya sebagai sarana untuk menjadi lebih kompetitif, kata Adam Meyers, wakil presiden intelijen CrowdStrike.
“Ini seperti cerita mini-China,” katanya.