Beberapa penyedia broadband AS, termasuk Verizon, AT&T, dan Lumen Technologies, telah dibobol oleh kelompok peretas Tiongkok yang dilacak sebagai Salt Typhoon, lapor Wall Street Journal.
Tujuan dari serangan tersebut tampaknya adalah untuk pengumpulan intelijen karena para peretas mungkin memiliki akses ke sistem yang digunakan oleh pemerintah federal AS untuk permintaan penyadapan jaringan yang disetujui pengadilan.
Tidak jelas kapan penyusupan itu terjadi, namun WSJ mengutip orang-orang yang mengetahui masalah ini, mengatakan bahwa “selama berbulan-bulan atau lebih, para peretas mungkin memiliki akses ke infrastruktur jaringan yang digunakan untuk bekerja sama dengan permintaan data komunikasi AS yang sah.”
Salt Typhoon adalah nama yang diberikan Microsoft untuk aktor ancaman yang berbasis di Tiongkok ini. Perusahaan keamanan siber lainnya sedang melacak musuh seperti Earth Estries (Trend Micro), FamousSparrow (ESET), Ghost Emperor (Kaspersky), dan UNC2286 (Mandiant, sekarang bagian dari Google Cloud).
Menangkap lalu lintas sensitif
Menurut WSJ, serangan itu diketahui dalam beberapa pekan terakhir dan sedang diselidiki oleh pemerintah AS dan pakar keamanan di sektor swasta.
Dampak serangan tersebut – jumlah dan jenis data yang diamati dan dieksfiltrasi – masih dikaji, kata orang-orang yang memiliki informasi tentang intrusi tersebut kepada WSJ.
“Para peretas tampaknya terlibat dalam pengumpulan lalu lintas internet dalam jumlah besar dari penyedia layanan internet yang menghitung bisnis besar dan kecil, dan jutaan orang Amerika, sebagai pelanggan mereka” – Jurnal Wall Street
Selain melanggar penyedia layanan di AS, Salt Typhoon mungkin juga meretas entitas serupa di negara lain.
Salt Typhoon telah aktif setidaknya sejak tahun 2019 dan dianggap sebagai kelompok peretasan canggih yang berfokus pada entitas pemerintah dan perusahaan telekomunikasi yang biasanya berada di kawasan Asia Tenggara.
Peneliti keamanan juga menemukan bahwa pelaku ancaman menyerang hotel, perusahaan teknik, dan firma hukum di Brasil, Burkina Faso, Afrika Selatan, Kanada, Israel, Prancis, Guatemala, Lituania, Arab Saudi, Taiwan, Thailand, dan Inggris.
Para peretas biasanya memperoleh akses awal ke jaringan target dengan mengeksploitasi kerentanan, seperti Kerentanan ProxyLogon di Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065).
Dalam serangan sebelumnya yang dikaitkan dengan Salt Typhoon/Ghost Emperor, pelaku ancaman menggunakan pintu belakang khusus yang disebut Pintu Sparrowversi khusus alat Mimikatz untuk mengekstraksi data autentikasi, dan rootkit mode kernel Windows Demodeks.
Penyidik masih mencari metode akses awal untuk serangan baru-baru ini. WSJ mengatakan bahwa salah satu cara yang sedang dijajaki adalah mendapatkan akses ke router Cisco yang bertanggung jawab untuk merutekan lalu lintas internet.
Namun, juru bicara Cisco mengatakan kepada WSJ bahwa perusahaan sedang menyelidiki masalah ini tetapi tidak menerima indikasi bahwa peralatan jaringan Cisco terlibat dalam pelanggaran tersebut.
BleepingComputer menghubungi AT&T tentang dugaan pelanggaran tersebut dan diberitahu bahwa mereka “tidak mengomentari laporan WSJ.” Lumen juga menolak berkomentar.
Verizon belum menanggapi email kami, dan kami akan memperbarui ceritanya jika kami menerima balasan.
Kelompok peretas APT Tiongkok semakin sering menargetkan perangkat jaringan dan ISP AS dan Eropa dalam serangan spionase dunia maya.
Pada bulan Agustus, peneliti keamanan siber di Black Lotus Labs di Lumen mengungkapkan bahwa pelaku ancaman Tiongkok yang dikenal sebagai “Volt Typhoon” mengeksploitasi kelemahan zero-day di Versa Director untuk mencuri kredensial dan melanggar jaringan perusahaan. Selama serangan ini, pelaku ancaman melanggar beberapa ISP dan MSP di AS dan India, yang diyakini tidak terkait dengan pelanggaran baru-baru ini.
Pada bulan September, Black Lotus Labs dan penegak hukum mengganggu botnet besar Tiongkok bernama “Raptor Train” yang mengkompromikan lebih dari 260.000 router SOHO, kamera IP dengan malware. Botnet ini digunakan oleh pelaku ancaman “Flax Typhoon” untuk serangan DDoS dan sebagai proxy untuk meluncurkan serangan diam-diam terhadap organisasi lain.
Meskipun serangan-serangan ini dikaitkan dengan kelompok peretas Tiongkok yang berbeda, mereka diyakini beroperasi di bawah payung yang sama, dan umumnya berbagi infrastruktur dan alat.
