bachkim24h.com, Jakarta Laporan terbaru mengungkap kelompok mata-mata berbahaya di China telah meretas sejumlah operator telepon seluler di Amerika Serikat (AS).
Rincian baru terus bermunculan mengenai serangan yang dilakukan oleh kelompok yang terkait dengan Tiongkok yang menargetkan pejabat dan staf kampanye AS.
Terbaru, The Wall Street Journal mengungkapkan pada Jumat (8/11/2024), seperti dilansir Engadget, akses peretas jauh lebih besar dari pemberitaan sebelumnya dan ribuan warga AS terkena dampaknya.
Pekan lalu, New York Times melaporkan bahwa penyelidik FBI mencurigai bahwa log panggilan dan pesan SMS diakses oleh kelompok peretas Tiongkok yang dikenal sebagai ‘Salt Typhoon’.
Kelompok ini dilaporkan menargetkan telepon para diplomat dan pejabat pemerintah, serta orang-orang yang terlibat dalam kedua kampanye presiden.
Kini The Wall Street Journal melaporkan bahwa peretas yang diduga bekerja untuk agen mata-mata Tiongkok menghabiskan “delapan bulan atau lebih” di dalam infrastruktur operator telepon seluler AS dan mengumpulkan data ribuan individu yang menjadi sasaran.
Majalah tersebut mengkonfirmasi laporan sebelumnya bahwa peretas telah membatasi target mereka pada sejumlah target politik dan keamanan nasional yang bernilai tinggi.
Namun para peretas, yang dilaporkan menggunakan router yang digunakan oleh perusahaan telekomunikasi, memperoleh akses ke data telepon hampir semua warga Amerika yang menjadi pelanggan operator yang diretas.
AT&T dan Verizon adalah operator seluler yang diperkirakan terkena dampaknya. Namun sayangnya kedua perusahaan menolak berkomentar.
Sebelumnya, Microsoft memperingatkan bahwa peretas Tiongkok menggunakan botnet Quad7 untuk menyusupi router kantor kecil/kantor rumah (SOHO) yang diretas dan mencuri kredensial dalam serangan penyemprotan kata sandi.
Router SOHO sering kali menjadi pilihan utama bagi usaha kecil dan menengah (UKM) yang membutuhkan koneksi Internet yang stabil.
Quad7, juga dikenal sebagai CovertNetwork-1658 atau xlogin, adalah botnet (terdiri dari router SOHO yang disusupi) yang pertama kali ditemukan oleh peneliti keamanan Gi7w0rm.
Laporan berikutnya oleh Sekoia dan Tim Cymru melaporkan bahwa peretas Tiongkok menargetkan router dan perangkat jaringan dari perangkat nirkabel TP-Link, ASUS, Ruckus, perangkat Axentra NAS, dan perangkat Zyxel VPN.
Saat perangkat disusupi, peretas menyebarkan malware khusus yang memungkinkan akses jarak jauh ke perangkat melalui Telnet dan menampilkan “spanduk selamat datang yang unik” berdasarkan perangkat yang disusupi.
Selain router yang diinstal, pelaku ancaman juga menyiapkan server proxy SOCKS5 untuk melakukan serangan berbahaya sambil menyelaraskan dengan TFaffic yang sah untuk menghindari deteksi keamanan.
Meskipun botnet tidak terikat pada pelaku ancaman tertentu, tim Cymru melacak perangkat lunak proxy yang digunakan pada router ke pengguna yang berbasis di Hangzhou, Tiongkok.
Microsoft mengumumkan bahwa mereka yakin botnet Quad7 beroperasi dari Tiongkok dan beberapa pelaku ancaman peretas memanfaatkan router yang dibajak untuk mencuri kredensial melalui serangan penyemprotan kata sandi.
“Microsoft menilai bahwa kredensial yang diperoleh dari operasi penyemprotan kata sandi CovertNetwork-1658 digunakan oleh beberapa pelaku ancaman Tiongkok,” kata Microsoft dalam laporan barunya.
“Microsoft secara khusus mengamati bahwa aktor ancaman Tiongkok Storm-0940 menggunakan kredensial CovertNetwork-1658,” tambah perusahaan itu.
Microsoft mengatakan bahwa ketika serangan penyemprotan kata sandi dilakukan, pelaku ancaman bukanlah penyerangnya tetapi mencoba masuk ke akun beberapa kali untuk menghindari peringatan sistem keamanan.
“Dalam kampanye ini, CovertNetwork-1658 mengirimkan sejumlah kecil upaya login ke banyak akun di organisasi yang ditargetkan,” kata Microsoft.
“Dalam sekitar 80 persen kasus, CovertNetwork-1658 mencoba masuk ke satu akun per hari,” tambahnya.
Setelah kredensial dicuri, Microsoft terlihat menggunakan Storm-0940 untuk menyusup ke jaringan target. Terkadang kredensial dicuri pada hari yang sama.
Setelah jaringan disusupi, pelaku ancaman menyebar lebih jauh ke dalam jaringan dengan menghapus kredensial dan memasang RAT serta alat proxy untuk memastikan persistensi jaringan.
Tujuan akhir dari serangan ini adalah untuk mengekstrak data dari jaringan target, kemungkinan untuk tujuan spionase dunia maya.
Hingga saat ini, para peneliti belum dapat menentukan secara pasti bagaimana pelaku ancaman Quad7 menyusupi router SOHO dan perangkat jaringan lainnya.
Namun, Sekoia mengamati bahwa honeypot dibobol oleh pelaku ancaman Quad7 yang menggunakan OpenWRT zero-day.
“Kami menunggu kurang dari seminggu untuk mengamati serangan kritis yang melibatkan pengungkapan file yang tidak terverifikasi dan injeksi perintah yang saat ini tidak terlihat oleh publik (berdasarkan pencarian Google),” jelas Sequoia pada bulan Juli.
Bagaimana pelaku ancaman menyusup ke perangkat lain masih menjadi misteri.
