Cyberthreat.id – Pemerintah AS mengatakan kelompok peretasan yang disponsori negara China yang dikenal sebagai Volt Typhoon telah tertanam di beberapa jaringan infrastruktur penting di negara tersebut setidaknya selama lima tahun.
Sasaran pelaku ancaman mencakup sektor komunikasi, energi, transportasi, serta sistem air dan air limbah di AS dan Guam.
“Pilihan target dan pola perilaku Volt Typhoon tidak konsisten dengan spionase dunia maya tradisional atau operasi pengumpulan intelijen, dan lembaga pembuat AS menilai dengan keyakinan tinggi bahwa pelaku Volt Typhoon telah memposisikan diri mereka di jaringan TI untuk memungkinkan pergerakan lateral ke aset OT. mengganggu fungsi,” kata pemerintah AS pada Rabu lalu sebagaimana dikutip The Hacker News.
Peringatan bersama tersebut, yang dikeluarkan oleh Badan Keamanan Siber dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federal (FBI), juga didukung oleh negara-negara lain yang tergabung dalam Five Eyes (FVEY). ) aliansi intelijen yang terdiri dari Australia, Kanada, Selandia Baru, Inggris.
Volt Typhoon – yang juga disebut Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda, atau Voltzite – adalah kelompok spionase dunia maya tersembunyi yang berbasis di China yang diyakini aktif sejak Juni 2021.
Hal ini pertama kali terungkap pada bulan Mei 2023 ketika Microsoft mengungkapkan bahwa kru peretasan berhasil membangun pijakan yang kuat di organisasi infrastruktur penting di A.S. dan Guam untuk jangka waktu yang lama tanpa terdeteksi dengan memanfaatkan prinsip hidup di luar lahan (LotL).
“Jenis perdagangan ini, yang dikenal sebagai ‘living off the land’, memungkinkan penyerang untuk beroperasi secara diam-diam, dengan aktivitas jahat yang menyatu dengan sistem dan perilaku jaringan yang sah sehingga sulit untuk membedakannya – bahkan oleh organisasi dengan postur keamanan yang lebih matang,” U.K. Pusat Keamanan Siber Nasional (NCSC) mengatakan.
Taktik khas lainnya yang diadopsi oleh Volt Typhoon adalah penggunaan proxy multi-hop seperti KV-botnet untuk merutekan lalu lintas berbahaya melalui jaringan router dan firewall yang disusupi di AS untuk menutupi asal usul sebenarnya.
Perusahaan keamanan siber CrowdStrike, dalam sebuah laporan yang diterbitkan pada bulan Juni 2023, menyatakan ketergantungannya pada peralatan sumber terbuka yang luas terhadap sekelompok kecil korban untuk mencapai tujuan strategisnya.
“Aktor Volt Typhoon melakukan pengintaian pra-eksploitasi secara ekstensif untuk mempelajari organisasi target dan lingkungannya; menyesuaikan taktik, teknik, dan prosedur (TTP) mereka dengan lingkungan korban; dan mendedikasikan sumber daya berkelanjutan untuk menjaga kegigihan dan pemahaman lingkungan target dari waktu ke waktu,” kata badan-badan tersebut.
“Grup ini juga mengandalkan akun yang valid dan memanfaatkan keamanan operasional yang kuat, yang jika digabungkan, memungkinkan adanya persistensi jangka panjang yang belum ditemukan.”
Selain itu, negara-bangsa telah diamati berupaya mendapatkan kredensial administrator dalam jaringan dengan mengeksploitasi kelemahan eskalasi hak istimewa, kemudian memanfaatkan akses yang lebih tinggi untuk memfasilitasi pergerakan lateral, pengintaian, dan kompromi domain penuh.
Tujuan akhir dari kampanye ini adalah untuk mempertahankan akses ke lingkungan yang disusupi, dan secara “metodis” menargetkan ulang lingkungan tersebut selama bertahun-tahun untuk memvalidasi dan memperluas akses tidak sah mereka.
Pendekatan yang cermat ini, menurut lembaga tersebut, terbukti dalam kasus di mana mereka telah berulang kali mengambil kredensial domain untuk memastikan akses ke akun yang valid dan terkini.
“Selain memanfaatkan kredensial akun yang dicuri, para pelaku menggunakan teknik LOTL dan menghindari meninggalkan artefak malware di sistem yang dapat menimbulkan peringatan,” kata CISA, FBI, dan NSA.
“Fokus kuat mereka pada kerahasiaan dan keamanan operasional memungkinkan mereka mempertahankan kegigihan jangka panjang yang belum diketahui. Lebih lanjut, keamanan operasional Volt Typhoon ditingkatkan dengan penghapusan log yang ditargetkan untuk menyembunyikan tindakan mereka dalam lingkungan yang disusupi.”
Perkembangan ini terjadi ketika Citizen Lab mengungkapkan jaringan yang terdiri dari setidaknya 123 situs web yang meniru outlet berita lokal yang tersebar di 30 negara di Eropa, Asia, dan Amerika Latin yang mendorong konten pro-China dalam kampanye pengaruh luas yang terkait dengan firma hubungan masyarakat Beijing bernama Shenzhen Haimaiyunxiang Media Co., Ltd.
Pengawas digital yang berbasis di Toronto, yang menjuluki operasi pengaruh PAPERWALL, mengatakan bahwa mereka memiliki kesamaan dengan HaiEnergy, meskipun dengan operator yang berbeda dan TTP yang unik.
“Fitur utama PAPERWALL, yang diamati di seluruh jaringan situs web, adalah sifat komponen paling agresifnya yang bersifat fana, di mana artikel yang menyerang kritikus Beijing secara rutin dihapus dari situs web ini beberapa saat setelah dipublikasikan,” kata Citizen Lab.
Dalam sebuah pernyataan yang disampaikan kepada Reuters, juru bicara kedutaan besar China di Washington mengatakan “merupakan sebuah bias dan standar ganda untuk menuduh bahwa konten dan laporan pro-China adalah ‘disinformasi’, dan menyebut konten dan laporan anti-China sebagai informasi yang benar.[]
