Akademi Jaringan Cisco, program pelatihan global yang dirancang untuk mendidik siswa TI tentang dasar-dasar jaringan TI dan keamanan siberdengan bangga memuji aksesibilitasnya kepada peserta di seluruh dunia: “Kami percaya pendidikan dapat menjadi penyeimbang utama, memungkinkan siapa pun, apa pun latar belakangnya, untuk mengembangkan keahlian dan membentuk nasib mereka di era digital,” demikian bunyi baris pertama di situs webnya.
Namun, pernyataan terpuji tersebut memiliki arti yang berbeda ketika “takdir” para pelajar tersebut tampaknya memiliki saham mayoritas di perusahaan-perusahaan yang terkait dengan salah satu operasi peretasan paling sukses yang disponsori negara Tiongkok yang pernah menargetkan negara-negara Barat—dan banyak dari mereka Produk Cisco sendiri.
Itu yang mengejutkan kesimpulan dari Dakota Cary, seorang peneliti di perusahaan keamanan siber SentinelOne dan Atlantic Council, yang, seperti banyak analis keamanan lainnya, telah melacak dengan cermat kelompok peretas yang dikenal sebagai Topan Garam. Kelompok spionase dunia maya ini menjadi terkenal tahun lalu ketika terungkap bahwa para peretas telah menembus setidaknya sembilan perusahaan telekomunikasi dan memperoleh kemampuan untuk memata-matai panggilan dan SMS real-time Amerika, yang secara khusus menargetkan calon presiden dan wakil presiden saat itu. Donald Trump Dan JD Vancedi antara banyak lainnya. Faktanya, Salt Typhoon terkenal karena peretasannya yang canggih terhadap perangkat jaringan—termasuk yang dijual oleh Cisco, perusahaan jaringan terbesar di dunia. Badan-badan pemerintah AS telah memperingatkan bahwa para peretas mengeksploitasi kerentanan Cisco untuk mendapatkan kredensial pengguna dan secara diam-diam bergerak melalui jaringan TI tanpa menanamkan malware pada mesin korban yang dapat dideteksi dengan tindakan keamanan biasa.
Sekarang Cary yakin dia menyimpulkan bahwa beberapa individu yang terkait dengan aksi peretasan Salt Typhoon mungkin telah mempelajari beberapa keterampilan mereka. Dia menemukan nama dua pemilik sebagian perusahaan kontrak yang terkait dengan Salt Typhoon di a nasihat pemerintah AS baru-baru ini tentang grup. Nama-nama tersebut—Qiu Daibing dan Yu Yang—juga muncul dalam catatan universitas, menunjukkan bahwa siswa dengan dua nama yang sama, bertahun-tahun sebelumnya, pernah ditempatkan di Cisco Networking Academy Cup, sebuah kompetisi yang dirancang untuk menguji para peserta mengenai pengetahuan yang diajarkan dalam program pelatihan Cisco Networking Academy.
“Sungguh tidak masuk akal jika Anda beralih dari lingkungan pelatihan yang disponsori perusahaan ke perusahaan yang sama,” kata Cary, menjelaskan teorinya. “Ada dua siswa yang lulus dari Cisco Networking Academy, dan mereka membantu melakukan salah satu kampanye pengumpulan telekomunikasi paling luas yang pernah dipublikasikan.”
Ketika WIRED menghubungi Cisco mengenai temuan Cary, perusahaan tersebut menanggapi dalam sebuah pernyataan bahwa Cisco Networking Academy adalah “program keterampilan untuk bekerja yang mengajarkan keterampilan teknologi dasar dan literasi digital, membantu jutaan siswa memperoleh keterampilan untuk mendapatkan sertifikasi dasar untuk pekerjaan TI tingkat pemula setiap tahun,” menambahkan bahwa “program ini terbuka untuk semua orang” dan telah mendidik lebih dari 28 juta siswa di 190 negara sejak diluncurkan pada tahun 1997.
“Cisco tetap berkomitmen untuk membantu orang-orang di seluruh dunia memperoleh keterampilan digital dasar yang diperlukan untuk mengakses karir di bidang teknologi dan peluang yang diberikannya,” pernyataan perusahaan tersebut menyimpulkan.
Meskipun Cisco Networking Academy menawarkan pendidikan umum di bidang jaringan TI—tidak terbatas pada produk Cisco—namun Cisco Networking Academy secara menonjol menampilkan kursus “peretas etis”, termasuk pengujian penetrasi serta penemuan dan penilaian kerentanan keamanan, meskipun tidak jelas apakah Qiu dan Yu mengikuti kursus tersebut.
Pekerjaan detektif Cary yang menunjukkan partisipasi nyata Qiu dan Yu di Cisco Networking Academy dimulai pada bulan September, ketika Badan Keamanan Siber dan Infrastruktur mengeluarkan nasihat dalam kemitraan dengan FBI, Badan Keamanan Nasional, dan lembaga di selusin negara lain yang menghubungkan tiga perusahaan dengan Salt Typhoon: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology, dan Sichuan Zhixin Ruijie Network Technology. Cary mulai mencari catatan perusahaan untuk perusahaan-perusahaan tersebut dan menemukan bahwa Qiu Daibing memiliki 45 persen saham Beijing Huanyu Tianqiong, Yu Yang memegang 55 persen saham lainnya di perusahaan tersebut, dan Yu juga memegang 50 persen saham Sichuan Zhixin Ruijie. Terlebih lagi, Qiu dan Yu tampaknya telah mengajukan paten bersama-sama, yang menunjukkan bahwa keterlibatan mereka di Beijing Huanyu Tianqiong tidak hanya mencakup bidang manajemen tetapi juga pekerjaan teknis.
Cary mulai mencari di Google nama kedua pria tersebut dan menemukan bahwa dua orang dengan nama tersebut muncul bersama di a dokumen diposting ke situs web universitas tempat mereka kuliah, Southwestern Petroleum University di provinsi Sichuan, Tiongkok. Rekor menunjukkan bahwa individu dengan kedua nama tersebut ditempatkan di Cisco Networking Academy Cup pada tahun 2012: Qiu Daibing dan rekan satu timnya berada di peringkat ketiga secara nasional di seluruh Tiongkok dan pertama di Sichuan. Yu Yang dan rekan setim lainnya berada di peringkat kedua di Sichuan.
Cary juga melihat halaman LinkedIn untuk seorang Qiu Daibing yang berbasis di Sichuan yang kuliah di Southwestern Petroleum University dan mencantumkan Ruijie Networks, sebuah perusahaan dengan nama yang berbeda namun anehnya mirip dengan nama yang disebutkan dalam penasihat Salt Typhoon, sebagai satu-satunya “kepentingan” miliknya.
Untuk mencoba menentukan kemungkinan pengulangan nama tersebut merupakan suatu kebetulan, Cary memeriksa dua database nama Tionghoa dan berkonsultasi dengan Yi Fuxian, seorang profesor demografi Tiongkok di Universitas Wisconsin–Madison. Nama Qiu Daibing—atau 邱代兵 dalam karakter Tiongkok—ternyata merupakan nama yang relatif tidak mungkin muncul dua kali hanya secara kebetulan, katanya. Nama keluarga 邱 saja, Yi mengkonfirmasi kepada WIRED, hanya mewakili 0,27 persen nama Tiongkok, dan jika dikombinasikan dengan nama tertentu 代兵 akan mewakili persentase yang jauh lebih kecil.
Nama Yu Yang (余洋 dalam karakter Cina) lebih umum. Namun kedua nama yang muncul bersamaan tampaknya bukan suatu kebetulan, menurut teori Cary. “Ketidakmungkinan seseorang yang memiliki nama ini juga dipasangkan dengan Yu Yang, memiliki keahlian ini dan kuliah di universitas yang sama di lokasi yang sama di mana perusahaan-perusahaan ini terdaftar, hanya kecil kemungkinannya bahwa mereka bukanlah orang yang tepat,” bantah Cary.
WIRED berusaha menghubungi Qiu Daibing dan Yu Yang melalui halaman LinkedIn Qiu Daibing dan alamat email di situs web Beijing Huanyu Tianqiong tetapi tidak mendapat tanggapan.
Jika teori Cary bahwa dua orang yang terkait dengan Salt Typhoon sebenarnya dilatih di Cisco Networking Academy adalah benar, hal ini tidak mewakili kelemahan atau pengawasan keamanan dalam program Cisco, katanya. Sebaliknya, hal ini menunjuk pada masalah yang sulit untuk dihindari di pasar global di mana produk-produk teknologi—dan bahkan pelatihan mengenai rincian teknis produk-produk tersebut—tersedia secara luas, termasuk bagi calon musuh peretasan.
Cary berargumentasi bahwa masalah ini menjadi semakin mencolok, karena Tiongkok telah mencoba selama bertahun-tahun untuk mengganti peralatan Cisco dan perangkat Barat lainnya di jaringannya sendiri dengan alternatif dalam negeri. “Jika Tiongkok bergerak ke arah penghapusan produk-produk ini dari jaringan Tiongkok,” Cary bertanya, “siapa yang masih tertarik mempelajari produk-produk ini?”
Sementara itu, Tiongkok semakin membatasi pembagian informasinya dengan komunitas keamanan siber global, seperti yang dikemukakan oleh John Hultquist, kepala analis di Grup Intelijen Ancaman Google, misalnya, dengan menekan peneliti keamanan untuk tidak menyajikan temuannya di konferensi internasional.
“Ini seperti kita berada dalam kelompok berbagi, dan mereka langsung mengatakan kepada kita bahwa mereka tidak akan membalasnya,” kata Hultquist. “Kami memberikan manfaat kepada mereka melalui program kami. Namun hal ini tidak mengarah ke arah lain.”
