Ancaman siber dikenali sebagai UNC3886 sasar pemerintah, sektor kritikal

Kegiatan kumpulan ancaman lanjut berulang (APT), UNC3886, telah dikesan dalam sebahagian daripada prasarana kritikal Agensi Keselamatan Siber (CSA).

Dalam satu kenyataannya pada 18 Julai, CSA berkata ia sedang menyiasat dan bekerjasama rapat dengan agensi serta rakan kongsi berkaitan untuk menyokong organisasi yang terjejas.

Ketika dihubungi Berita Harian (BH), Pengarah Urusan Perundingan Mandiant Asia Pasifik dan Jepun, Encik Vivek Chudgar, berkata UNC3886 ialah kumpulan pengintip siber yang berkemahiran tinggi dan mempunyai kaitan dengan China.

Ia menyasarkan peranti rangkaian dan teknologi maya melalui sifar-hari atau ‘zero-day’ – kelemahan yang telah didedahkan tetapi belum ditangani.

Tumpuan utama mereka ialah organisasi dalam sektor pemerintah, pertahanan, teknologi dan telekomunikasi yang terletak di Amerika Syarikat, Eropah, Afrika dan bahagian lain di Asia.

Berikut perincian mengenai UNC3886.

Soalan: Negara manakah di sebalik UNC3886?

Jawapan: Sasaran serta Taktik, Teknik dan Prosedur (TTP) yang diperhatikan menunjukkan corak yang konsisten dan sepadan dengan kumpulan siber yang sebelum ini dikenal pasti mempunyai kaitan dengan China.

Soalan: Apakah modus operandi mereka?

Jawapan: Kumpulan ancaman ini beroperasi secara canggih, berhati-hati dan sukar dikesan. Kami telah mengesan bahawa mereka gunakan teknik baru dan canggih yang menyasarkan perisian pemantau maya, perisian maya, peranti keselamatan dan peranti rangkaian melalui alat khas bagi mendapatkan dan mengekalkan akses tersembunyi di mesin mangsa.

Soalan: Siapakah sasaran mereka?

UNC3886 menyasarkan sektor pemerintah, telekomunikasi, teknologi, aeroangkasa dan pertahanan, serta tenaga dan utiliti. Memandangkan sensitiviti dan kepentingan sektor ini, serangan siber yang dilakukan berpotensi menjejas keselamatan negara.

Soalan: Negara apakah yang kini diserang oleh UNC3886?

Jawapan: Mandiant telah mengesan kegiatab UNC3886 sejak 2022, dengan pemerhatian terhadap penggunaan kelemahan sifar-hari atau ‘zero-day’ yang menyasarkan teknologi Fortinet dan VMware. Kebanyakan organisasi mangsa yang dikenal pasti berpangkalan di Amerika Utara, Asia Tenggara dan Oceania, namun terdapat juga bukti kewujudan mangsa lain di Eropah, Afrika dan bahagian Asia yang lain.

Soalan: Perlukah orang ramai berasa bimbang?

Jawapan: Kebanyakan sasaran mereka ialah organisasi dalam sektor prasarana kritikal. Matlamat utama mereka adalah untuk mencuri maklumat sensitif.

Walaupun rakyat tidak perlu risau akan kesan langsung terhadap kehidupan harian mereka, penting untuk mereka sedar terdapat ancaman pengintipan siber ini.

Bagaimana orang ramai boleh lindungi diri?

1. Sentiasa gunakan kata laluan yang kuat dan unik: Cipta kata laluan kompleks dan berbeza bagi setiap akaun dalam talian.
2. Gunakan Pengesahan Pelbagai Faktor (MFA): Hidupkan MFA atau dikenali sebagai Pengesahan Data Tahap Kedua (2FA) pada semua akaun, terutama untuk e-mel, perbankan, dan media sosial. Ini memberi lapisan keselamatan tambahan.
3. Kemas kini perisian dan peranti: Sentiasa kemas kini semua perisian dan peranti untuk pastikan anda punyai ciri keselamatan terkini.
4. Sentiasa semak alamat e-mel penghantar dengan teliti jika ada perkara mencurigakan.
5. Sebelum klik sebarang pautan, gerakkan tetikus ke atas pautan tersebut untuk melihat URL sebenar. Jika ia kelihatan mencurigakan, jangan klik.
6. Elak buka lampiran mencurigakan: Jangan buka lampiran daripada pengirim yang tidak dikenali atau mencurigakan.
7. Sentiasa semak penyata kewangan anda untuk sebarang transaksi yang tidak dilakukan.
8. Sentiasa pantau laporan kredit anda bagi sebarang tanda kecurian identiti.
9. Berikan perhatian serius terhadap amaran keselamatan daripada perkhidmatan dalam talian, seperti notifikasi tentang log masuk baru daripada peranti yang tidak dikenali.