Dari risiko keamanan siber yang dihadapi Amerika Serikat saat ini, hanya sedikit yang lebih besar daripada potensi kemampuan sabotase yang ditimbulkan oleh peretas yang didukung Tiongkok, yang oleh para pejabat tinggi keamanan nasional AS digambarkan sebagai “ancaman yang dapat menentukan waktu”.
Amerika Serikat mengatakan para peretas yang didukung oleh pemerintah Tiongkok telah (dalam beberapa kasus selama bertahun-tahun) menyerang secara mendalam jaringan infrastruktur penting Amerika, termasuk penyedia air, energi, dan transportasi. Tujuannya, kata para pejabat, adalah untuk meletakkan dasar bagi serangan siber yang berpotensi merusak jika terjadi konflik di masa depan antara Tiongkok dan Amerika Serikat, seperti lebih dari kemungkinan invasi Tiongkok ke Taiwan.
“Peretas Tiongkok memposisikan diri mereka di infrastruktur Amerika sebagai persiapan untuk mendatangkan malapetaka dan menimbulkan kerugian nyata bagi warga dan komunitas Amerika, jika Tiongkok memutuskan waktunya telah tiba untuk menyerang,” katanya kepada anggota parlemen tahun lalu .
Sejak itu, pemerintah AS dan sekutunya telah mengambil tindakan terhadap beberapa anggota kelompok peretas Tiongkok yang merupakan keluarga “Typhoon” dan telah merilis rincian baru tentang ancaman yang ditimbulkan oleh kelompok-kelompok ini.
Pada bulan Januari 2024, Amerika Serikat menghentikan “Topan Volt” sekelompok peretas pemerintah Tiongkok yang bertugas menyiapkan panggung untuk serangan siber yang merusak. Nantinya, pada bulan September 2024, Otoritas federal mengambil kendali atas botnet. dipimpin oleh kelompok peretas Tiongkok lainnya yang disebut “Flax Typhoon,” yang menggunakan perusahaan keamanan siber yang berbasis di Beijing untuk membantu menyembunyikan aktivitas peretas dari pemerintah Tiongkok. Kemudian, pada bulan Desember, pemerintah AS memberikan sanksi kepada perusahaan keamanan siber tersebut atas dugaan perannya dalam “beberapa insiden intrusi komputer terhadap korban di Amerika.”
Sejak itu, kelompok peretas baru lainnya yang didukung Tiongkok bernama “Salt Typhoon” muncul di jaringan raksasa telepon dan Internet Amerika, yang mampu mengumpulkan informasi tentang orang Amerika (dan target potensial pengawasan Amerika) dengan menyusupi sistem telekomunikasi yang digunakan untuk penyadapan secara hukum pelaksanaan.
Dan aktor ancaman Tiongkok bernama Silk Typhoon (sebelumnya dikenal sebagai Hafnium), sebuah kelompok peretas yang telah aktif setidaknya sejak tahun 2021, kembali pada bulan Desember 2024 dengan kampanye baru yang menargetkan Departemen Keuangan AS.
Inilah yang kami pelajari tentang kelompok peretas Tiongkok yang bersiap menghadapi perang.
Topan Volt
Volt Typhoon mewakili generasi baru kelompok peretas yang didukung Tiongkok; Hal ini tidak lagi hanya bertujuan untuk mencuri rahasia rahasia AS, namun lebih merupakan persiapan untuk mengganggu “kapasitas mobilisasi” militer AS, menurut direktur FBI saat itu.
Microsoft pertama kali mengidentifikasi Volt Typhoon pada bulan Mei 2023, menemukan bahwa peretas telah menyerang dan menyusupi peralatan jaringan, seperti router, firewall, dan VPN, setidaknya sejak pertengahan tahun 2021 sebagai bagian dari upaya berkelanjutan dan terpadu untuk menyusup jauh ke dalam sistem infrastruktur penting EE mengatakan bahwa, pada kenyataannya, para peretas kemungkinan besar beroperasi lebih lama. berpotensi hingga lima tahun.
Volt Typhoon menyusupi ribuan perangkat yang terhubung ke Internet dalam beberapa bulan setelah laporan Microsoft, mengeksploitasi kerentanan pada perangkat yang dianggap “sudah habis masa pakainya” dan oleh karena itu tidak lagi menerima pembaruan keamanan. Kelompok peretas ini kemudian memperoleh akses lebih besar ke lingkungan TI di berbagai sektor infrastruktur penting, termasuk penerbangan, air, energi, dan transportasi, sehingga mereka siap memicu serangan siber yang mengganggu di masa depan yang bertujuan memperlambat respons pemerintah AS terhadap invasi sekutu utamanya. Taiwan.
“Aktor ini tidak melakukan pengumpulan intelijen diam-diam dan pencurian rahasia seperti yang biasa terjadi di AS. Mereka menyelidiki infrastruktur penting yang sensitif sehingga dapat mengganggu layanan penting ketika perintah tersebut dilaksanakan,” kata John Hultquist, kepala analis dari perusahaan keamanan Mandiant.
Dia Pemerintah AS mengatakan pada Januari 2024. yang berhasil menyela a jaringan robotdigunakan oleh Volt Typhoon, yang terdiri dari ribuan router jaringan rumah dan kantor kecil yang dibajak di AS, yang digunakan oleh kelompok peretas Tiongkok untuk menyembunyikan aktivitas jahat mereka yang menargetkan infrastruktur penting AS. FBI mengatakan pihaknya mampu menghapus malware dari router yang dibajak melalui operasi resmi pengadilan, memutuskan koneksi kelompok peretas Tiongkok ke botnet.
Pada bulan Januari 2025, Amerika Serikat telah menemukan lebih dari 100 intrusi. di seluruh negeri dan wilayahnya terkait dengan Topan Volt, menurut laporan Bloomberg. Sejumlah besar serangan ini menargetkan Guam, sebuah wilayah kepulauan AS di Pasifik dan lokasi strategis untuk operasi militer AS, menurut laporan tersebut. Volt Typhoon dilaporkan menyerang infrastruktur penting di pulau itu, termasuk otoritas listrik utama, penyedia seluler terbesar di pulau itu, dan beberapa jaringan federal AS, termasuk sistem pertahanan sensitif, yang berbasis di Guam. Bloomberg melaporkan bahwa Volt Typhoon menggunakan jenis malware yang benar-benar baru untuk menyerang jaringan di Guam yang belum pernah disebarkan sebelumnya, yang oleh para peneliti dianggap sebagai tanda betapa pentingnya kawasan ini bagi para peretas yang didukung Tiongkok.
Topan Linen
Flax Typhoon, pertama kali ditemukan oleh Microsoft beberapa bulan kemudian laporan dari Agustus 2023adalah kelompok peretas lain yang didukung Tiongkok, yang menurut para pejabat beroperasi dengan menyamar sebagai perusahaan keamanan siber publik yang berbasis di Beijing untuk melakukan serangan terhadap infrastruktur penting dalam beberapa tahun terakhir. Microsoft mengatakan Flax Typhoon, yang juga aktif sejak pertengahan tahun 2021, terutama menargetkan lusinan “lembaga pemerintah dan pendidikan, manufaktur penting, dan organisasi teknologi informasi di Taiwan.”
Kemudian pada bulan September 2023, Pemerintah AS mengatakan telah mengambil alih botnet lain.yang terdiri dari ratusan ribu perangkat yang terhubung ke Internet yang dibajak, dan digunakan oleh Flax Typhoon untuk “melakukan aktivitas dunia maya berbahaya yang menyamar sebagai lalu lintas Internet rutin dari perangkat konsumen yang terinfeksi.” Jaksa mengatakan botnet memungkinkan peretas lain yang didukung oleh pemerintah Tiongkok untuk “meretas jaringan di Amerika Serikat dan di seluruh dunia untuk mencuri informasi dan menjaga infrastruktur kita dalam bahaya.”
Departemen Kehakiman kemudian menguatkan kesimpulan Microsoft, menambahkan bahwa Flax Typhoon juga “menyerang banyak perusahaan AS dan asing.”
Para pejabat AS mengatakan botnet yang digunakan oleh Flax Typhoon dioperasikan dan dikendalikan oleh perusahaan keamanan siber yang berbasis di Beijing, Integrity Technology Group. Pada bulan Januari 2024, Pemerintah Amerika menjatuhkan sanksi. di Integrity Tech karena dugaan hubungannya dengan Flax Typhoon.
Topan garam
Kelompok tentara siber terbaru (dan berpotensi paling jahat) yang didukung pemerintah Tiongkok yang ditemukan dalam beberapa bulan terakhir adalah Salt Typhoon.
Salt Typhoon menjadi berita utama pada bulan Oktober 2024 karena jenis operasi pengumpulan intelijen yang berbeda. Sebagai pertama kali dilaporkan oleh The Wall Street JournalKelompok peretas yang terkait dengan Tiongkok ini menyusupi beberapa penyedia internet dan telekomunikasi AS, termasuk AT&T, Lumen (sebelumnya CenturyLink), dan Verizon. Buku harian itu kemudian dilaporkan pada Januari 2025 bahwa Salt Typhoon juga melanggar penyedia internet Charter Communications dan Windstream yang berbasis di AS. Pejabat dunia maya AS Anne Neuberger mengatakan pemerintah federal telah mengidentifikasi perusahaan telekomunikasi kesembilan yang tidak disebutkan namanya yang telah diretas.
Menurut sebuah laporanSalt Typhoon mungkin telah memperoleh akses ke perusahaan telekomunikasi ini menggunakan router Cisco yang telah disusupi. Begitu berada di dalam jaringan telekomunikasi, penyerang dapat mengaksesnya Metadata panggilan pelanggan dan pesan teks.termasuk cap tanggal dan waktu komunikasi pelanggan, alamat IP sumber dan tujuan, serta nomor telepon lebih dari satu juta pengguna; sebagian besar dari mereka adalah orang-orang yang berlokasi di wilayah Washington DC. Dalam beberapa kasus, ada peretas mampu menangkap audio telepon orang Amerika yang lebih tua. Neuberger mengatakan “sejumlah besar” dari mereka yang datanya diakses adalah “target kepentingan pemerintah.”
Sistem peretasan digunakan oleh lembaga penegak hukum untuk pengumpulan data pelanggan yang disetujui pengadilanSalt Typhoon juga berpotensi mendapatkan akses ke data dan sistem yang menampung sebagian besar permintaan data pemerintah AS, termasuk potensi identitas target pengawasan AS di Tiongkok.
Belum diketahui kapan pelanggaran sistem penyadapan terjadi, tetapi kemungkinan terjadi pada awal tahun 2024, menurut laporan Journal.
AT&T dan Verizon memberi tahu TechCrunch pada bulan Desember 2024 bahwa jaringan mereka aman setelah diserang oleh kelompok mata-mata Salt Typhoon. lumen dikonfirmasi tak lama kemudian bahwa jaringan mereka bebas dari peretas.
topan sutra
Kelompok peretas yang didukung Tiongkok, yang sebelumnya dikenal sebagai Hafnium, diam-diam muncul kembali sebagai Silk Typhoon yang baru setelah dikaitkan dengan a Desember 2024 Peretasan ke Departemen Keuangan AS.
Di dalam surat kepada legislator yang dilihat oleh TechCrunchDepartemen Keuangan AS mengatakan pada akhir Desember 2024 bahwa peretas yang didukung Tiongkok menggunakan kunci yang dicuri dari BeyondTrust, sebuah perusahaan yang menyediakan teknologi akses identitas untuk organisasi besar dan departemen pemerintah, untuk mendapatkan akses jarak jauh ke stasiun kerja pegawai Departemen Keuangan tertentu, tempat mereka menemukan informasi internal. . dokumen di jaringan departemen yang tidak rahasia.
Selama serangan itu, kelompok peretas yang disponsori negara juga melakukan serangan mengkompromikan kantor sanksi Departemen Keuanganyang memberlakukan sanksi ekonomi dan perdagangan terhadap negara dan individu. Dia juga diperkosa pada bulan Desember kepada Komite Perbendaharaan untuk Penanaman Modal Asing di Amerika Serikat (CFIUS), sebuah kantor yang mempunyai wewenang untuk memblokir investasi Tiongkok di Amerika Serikat.
Topan Sutra bukanlah kelompok ancaman baru, setelah sebelumnya menjadi berita utama pada tahun 2021 sebagai Hafnium, sebutan untuk itu. mengeksploitasi kerentanan di server email Microsoft Exchange yang dihosting sendiri yang melibatkan lebih dari 60.000 organisasi.
Menurut microsoftyang melacak kelompok peretas yang didukung pemerintahSilk Typhoon biasanya berfokus pada pengintaian dan pencurian data dan dikenal menargetkan organisasi layanan kesehatan, firma hukum, dan organisasi non-pemerintah di Australia, Jepang, Vietnam, dan Amerika Serikat.
Pertama kali diterbitkan 13 Oktober 2024 dan diperbarui.
