Peretas China yang bertanggung jawab atas serangan terhadap raksasa media News Corp bulan lalu kemungkinan mencari intelijen untuk melayani kepentingan China dalam insiden spionase siber yang menunjukkan kerentanan terus-menerus jaringan perusahaan terhadap serangan berbasis email, kata para profesional keamanan.

Reports pada hari Senin mengungkapkan bahwa a Insiden 20 Januari di raksasa media Rupert Murdoch melibatkan serangan terhadap akun email jurnalis yang memberi para penyusup akses ke data sensitif. Pelanggaran tersebut – terbatas pada beberapa individu yang bekerja untuk outlet termasuk News UK, Wall Street Journal dan New York Post – telah menimbulkan kekhawatiran atas keamanan sumber rahasia yang bekerja dengan jurnalis yang terkena dampak insiden tersebut.

Dalam email ke staf, News Corp mengutip "pemerintah asing" yang bertanggung jawab atas "serangan negara-bangsa yang terus-menerus" dan menegaskan bahwa "beberapa data" telah dicuri, menurut laporan yang diterbitkan. Raksasa media tersebut meminta bantuan firma keamanan siber Mandiant untuk menyelidiki insiden tersebut, yang menurut perusahaan itu kemungkinan merupakan pekerjaan aktor yang disponsori Tiongkok. terlibat dalam kegiatan spionase untuk mengumpulkan intelijen demi kepentingan China,” kata David Wong, wakil presiden konsultasi di Mandiant, dalam pernyataan email kepada Threatpost.

Menargetkan Jurnalis untuk Cyberespionage

Memang, sementara China biasanya menargetkan “militer dan kekayaan intelektual” di negaranya- serangan yang disponsori, jurnalis juga “cukup tinggi di radar mereka untuk spionase” karena pekerjaan mereka dengan sumber – rahasia dan sebaliknya, seperti dicatat oleh seorang profesional keamanan siber.

“Wartawan dapat memiliki akses ke sumber dan intelijen tentang musuh dan lawan lain dari Rezim China, baik asing maupun domestik, atau bisa juga meneliti cerita-cerita yang bisa menghasilkan neg publisitas aktif untuk pemerintah China,” Mike McLellan, direktur intelijen untuk firma intelijen ancaman dunia maya, Secureworks Counter Threat Unit, menulis dalam email ke Threatpost pada hari Senin.

Paul Farrington, chief product officer untuk perusahaan keamanan Glasswall, setuju bahwa itu “umum untuk penjahat dunia maya bermotivasi politik untuk menambang materi wartawan untuk intelijen,” mengingat percakapan mereka yang sering dengan sumber rahasia yang memiliki akses ke informasi tentang peristiwa geopolitik saat ini dan di masa depan.

Selain itu, China sebelumnya telah menunjukkan minat untuk menyerang jurnalis, membuat serangan terbaru ini “sepenuhnya konsisten dengan perilaku yang disponsori negara Tiongkok di masa lalu,” Dave Merkel, CEO perusahaan keamanan siber Expel.

Dia sependapat, mengutip serangan sebelumnya di New York Times oleh Tiongkok pada 2013 sebagai preseden untuk penargetan negara terhadap jurnalis. Selain itu, penggunaan kompromi email bisnis (BEC) oleh aktor ancaman untuk melakukan serangan “masuk akal” dan juga konsisten dengan aktor negara-bangsa, Merkel mengamati.

“Ketika menyangkut serangan siber, aktor negara bangsa hanya akan secanggih yang mereka harus – mengapa menghabiskan nol hari yang mahal jika Anda tidak perlu?” katanya.

Mencegah Serangan BEC

Bahkan, Merkel mengatakan sumber serangan No. 1 terhadap pelanggan Expel adalah BEC. “Tidak ada alasan untuk berpikir bahwa kelompok-kelompok yang disponsori negara China tidak akan menggunakan taktik yang sama terhadap target mereka jika taktik itu berhasil – dan organisasi berita pasti menjadi target,” katanya.

Memang, BEC adalah ancaman besar yang biasanya melibatkan kesalahan manusia. Cara kerjanya adalah seorang karyawan di sebuah perusahaan menerima email dengan tautan atau dokumen berbahaya dan mengambil tindakan yang dapat menginstal malware di komputer mereka. Hal ini dapat mengakibatkan konsekuensi dari pencurian data lokal hingga memberi pelaku ancaman akses ke jaringan perusahaan ke vektor serangan tingkat lanjut seperti ransomware.

Microsoft meluncurkan langkah tepat waktu namun tidak terkait minggu ini yang dapat membantu mengurangi dampak, atau bahkan mencegah, serangan BEC di masa mendatang : Yaitu, perusahaan akan segera mulai memblokir, secara default, makro VBA yang diperoleh dari internet di lima aplikasi Office, seperti yang diungkapkan perusahaan dalam posting blog Senin.

“Untuk makro dalam file yang diperoleh dari internet, pengguna tidak akan lagi dapat mengaktifkan konten dengan mengklik tombol,” tulis Manajer Program Utama Microsoft Kellie Eickmeyer. “Bilah pesan akan muncul untuk memberi tahu pengguna dengan tombol untuk mempelajari lebih lanjut.”

Pengaturan default ini “lebih aman dan diharapkan dapat menjaga lebih banyak pengguna tetap aman termasuk pengguna rumahan dan pekerja informasi di organisasi yang dikelola,” tambahnya. Memang, mengirim dokumen yang sarat dengan makro yang segera menginstal malware di komputer orang dengan satu klik adalah taktik populer serangan berbasis email.

Pengaturan default baru akan berlaku untuk Microsoft Office pada perangkat yang menjalankan Windows untuk Access, Excel, PowerPoint, Visio, dan Word . Microsoft akan meluncurkan perubahan terlebih dahulu dalam versi pratinjau Office 2023, dimulai dengan saluran pembaruan Saluran Saat Ini pada awal April 2022.

Kemudian, perubahan akan tersedia di saluran pembaruan lainnya, seperti Saluran Saat Ini, Saluran Perusahaan Bulanan, dan Saluran Perusahaan Setengah Tahunan. Di masa mendatang Microsoft juga akan mengubah pengaturan default Office untuk makro VBA di Office LTSC, Office 2021, Office 2019, Office 2016 dan Office 2013, tambah Eickmeyer. Namun, seperti yang dicatat oleh seorang profesional keamanan, perusahaan masih harus tetap waspada dan mengambil pendekatan “semua tangan di dek” baik untuk mitigasi dan respons ancaman, mengingat sifat yang berkembang dan meningkatnya serangan siber yang dihadapi organisasi.

“Sebagai ancaman lingkungan terus berubah, ketekunan yang tepat dan berkelanjutan diperlukan untuk memastikan semua alat dan teknik pertahanan siber digunakan untuk melindungi aset data Anda yang paling berharga,” kata Tom Garrubba, wakil presiden di perusahaan manajemen risiko Shared Assessments, dalam email ke Threatpost. “Intelijen, pemantauan, dan dialog berkelanjutan dengan mitra dan pemasok penting harus terus dilakukan untuk memastikan 'semua siap' jika pemulihan diperlukan, dan bahwa dukungan tambahan tersedia jika terjadi sesuatu."