Microsoft Bongkar Persiapan Serangan Siber China di Masa Depan

Nemo Ikram
 Kamis, 25 Mei 2023 - 11:41 WIB   1432

BleepingComputer

Cyberthreat.id - Microsoft menyatakan kelompok spionase siber China yang dilacaknya saat Volt Typhoon telah menargetkan organisasi infrastruktur penting di seluruh Amerika Serikat, termasuk Guam, setidaknya sejak pertengahan 2021.

BleepingComputer dalam laporannya menyebutkan spionase siber China tersebut menjangkau korbannya ke berbagai sektor kritis, termasuk pemerintahan, maritim, komunikasi, manufaktur, teknologi informasi, utilitas, transportasi, konstruksi, dan pendidikan.

"Microsoft menilai bahwa kampanye Volt Typhoon ini mengejar pengembangan kemampuan yang dapat mengganggu infrastruktur komunikasi penting antara Amerika Serikat dan kawasan Asia selama krisis di masa mendatang," kata tim Intelijen Ancaman Microsoft sebagaimana dipublis BleepingComputer.

Disebutkan, vektor serangan awal adalah kompromi perangkat Fortinet FortiGuard yang terpapar Internet dengan mengeksploitasi kerentanan zero-day yang tidak diketahui.

Setelah menembus jaringan target, mereka meluncurkan apa yang Microsoft gambarkan sebagai serangan "living-off-the-land" dengan aktivitas hands-on-keyboard dan living-off-the-land binary (LOLBins) seperti PowerShell, Certutil, Netsh, dan Windows Management Instrumentation Command-line (WMIC).

Namun, mereka juga terlihat menggunakan alat sumber terbuka seperti Fast Reverse Proxy (frp), alat pencuri kredensial Mimikatz, dan kerangka kerja jaringan Impacket, menurut penasehat bersama yang diterbitkan pada Rabu (24/05/2023) oleh FBI, NSA, CISA, dan badan keamanan siber dari Australia, Selandia Baru, Inggris, dan Kanada.

Untuk memastikan bahwa aktivitas jahat mereka menyatu dengan lalu lintas jaringan yang sah untuk menghindari deteksi, Volt Typhoon menggunakan peralatan jaringan kantor kecil dan rumah (SOHO) yang disusupi dari ASUS, Cisco, D-Link, Netgear, FatPipe, dan Zyxel, seperti router, firewall , dan peralatan VPN.

Memanfaatkan akses istimewa yang diperoleh setelah mengkompromikan perangkat Fortinet memungkinkan peretas negara untuk membuang kredensial melalui Layanan Subsistem Otoritas Keamanan Lokal (LSASS).

Kredensial yang dicuri memungkinkan mereka untuk menggunakan shell web berbasis Awen untuk eksfiltrasi data dan persistensi pada sistem yang diretas.

Seperti yang dikatakan Kepala Analis Mandiant Intelligence John Hultquist kepada BleepingComputer, intrusi ke dalam organisasi infrastruktur penting AS ini kemungkinan merupakan bagian dari upaya bersama untuk memberi China akses jika terjadi konflik di masa depan antara kedua negara.

“Ada berbagai alasan pelaku menargetkan infrastruktur kritis, tetapi fokus yang terus-menerus pada sektor ini dapat mengindikasikan persiapan untuk serangan siber yang mengganggu atau merusak,” kata Hultquist.

“Negara melakukan penyusupan jangka panjang ke dalam infrastruktur kritis untuk mempersiapkan kemungkinan konflik, karena mungkin sudah terlambat untuk mendapatkan akses ketika konflik muncul. Penyusupan kontingensi serupa dilakukan secara teratur oleh negara.”

“Selama dekade terakhir, Rusia telah menargetkan berbagai sektor infrastruktur penting dalam operasi yang kami yakini tidak dirancang untuk segera diterapkan. China telah melakukan hal yang sama di masa lalu, menargetkan sektor minyak dan gas. Operasi ini agresif dan berpotensi berbahaya, tetapi itu tidak selalu menunjukkan bahwa serangan akan segera terjadi."\

Sejalan dengan prosedur standarnya untuk mengatasi aktivitas aktor negara-negara, Microsoft mengatakan secara proaktif menjangkau semua pelanggan yang menjadi sasaran atau dikompromikan dalam serangan ini untuk memberi mereka informasi yang diperlukan untuk mengamankan jaringan mereka dari upaya peretasan di masa mendatang.[]

Tags