Liputan6.com, Jakarta Laporan terbaru mengungkap kelompok mata-mata berbahaya asal China telah meretas sejumlah operator seluler di Amerika Serikat (AS)
Rincian baru terus bermunculan tentang peretasan oleh kelompok yang terkait dengan China yang menargetkan pejabat dan staf kampanye AS.
Terkini, laporan The Wall Street Journal, sebagaimana dikutip dari Engadget, Jumat (8/11/2024), mengungkap bahwa akses peretas bahkan lebih besar dari yang dilaporkan sebelumnya, di mana ribuan warga AS mungkin telah terpengaruh.
Minggu lalu, The New York Times melaporkan penyelidik FBI menduga log panggilan dan pesan SMS telah diakses oleh kelompok hacker China, yang dikenal sebagai 'Salt Typhoon'.
Kelompok tersebut dilaporkan menargetkan telepon diplomat dan pejabat pemerintah, serta orang-orang yang terkait dengan kedua kampanye presiden.
Sekarang, The Wall Street Journal melaporkan bahwa peretas, yang diduga bekerja untuk badan intelijen China, menghabiskan "delapan bulan atau lebih" di infrastruktur operator seluler AS, mungkin telah meraup data ribuan orang yang menjadi target.
Peretas Mengksploitasi Router
Jurnal tersebut mengonfirmasi laporan sebelumnya bahwa para peretas membatasi target mereka pada sejumlah tokoh politik dan keamanan nasional terpilih yang bernilai tinggi.
Namun, para peretas, yang dilaporkan mengeksploitasi router yang digunakan oleh perusahaan telekomunikasi, memiliki kemampuan untuk mengakses data telepon hampir semua orang Amerika yang menjadi pelanggan operator yang diretas kelompok itu.
Operator seluler yang diduga terdampak adalah AT&T dan Verizon. Namun sayangnya, kedua perusahaan itu menolak untuk berkomentar.
Microsoft: Hacker China Susupi Router Milik UKM untuk Curi Data Kredensial
Sebelumnya, Microsoft memperingatkan bahwa hacker China menggunakan botnet Quad7, yang disusupi dari router small office/home office (SOHO) yang diretas, untuk mencuri kredensial dalam serangan password-spray.
Router SOHO biasanya menjadi pilihan utama bagi usaha kecil menengah (UKM) yang membutuhkan koneksi internet stabil.
Quad7, juga dikenal sebagai CovertNetwork-1658 atau xlogin, adalah botnet yang pertama kali ditemukan oleh peneliti keamanan Gi7w0rm (terdiri dari router SOHO yang disusupi).
Laporan selanjutnya oleh Sekoia dan Team Cymru melaporkan bahwa hacker China menargetkan router dan perangkat jaringan dari TP-Link, ASUS, perangkat nirkabel Ruckus, perangkat NAS Axentra, dan peralatan VPN Zyxel.
Ketika perangkat disusupi, hacker menyebarkan malware khusus yang memungkinkan akses jarak jauh ke perangkat melalui Telnet, yang menampilkan 'banner selamat datang unik' berdasarkan perangkat yang disusupi.
Selain router yang terinstal, pelaku ancaman juga memasang server proxy SOCKS5 untuk melakukan serangan berbahaya sambil berbaur dengan tfaffic yang sah untuk menghindari deteksi keamanan.
Meskipun botnet tersebut belum dikaitkan dengan aktor ancaman tertentu, Team Cymru melacak perangkat lunak proksi yang digunakan pada router tersebut ke pengguna yang tinggal di Hangzhou, China.
Botnet Quad7 Digunakan untuk Serangan Password Spray
Microsoft mengungkapkan bahwa botnet Quad7 diyakini beroperasi dari China, dengan beberapa pelaku ancaman Hacker memanfaatkan router yang disusupi untuk mencuri kredensial melalui serangan password spray.
"Microsoft menilai bahwa kredensial yang diperoleh dari operasi password spray CovertNetwork-1658 digunakan oleh beberapa pelaku ancaman China," kata Microsoft dalam laporan baru.
"Secara khusus, Microsoft telah mengamati pelaku ancaman Tiongkok Storm-0940 menggunakan kredensial dari CovertNetwork-1658," perusahaan melanjutkan.
Saat melakukan serangan password spray, Microsoft mengatakan pelaku ancaman tidak agresif, hanya mencoba masuk beberapa kali per akun, kemungkinan untuk menghindari peringatan sistem keamanan.
"Dalam kampanye ini, CovertNetwork-1658 mengirimkan sejumlah kecil upaya masuk ke banyak akun di organisasi target," ungkap Microsoft.
"Dalam sekitar 80 persen kasus, CovertNetwork-1658 hanya melakukan satu upaya masuk per akun per hari," sambungnya.
Pembobolan Jaringan
Setelah kredensial dicuri, Microsoft telah mengamati Storm-0940 memanfaatkannya untuk membobol jaringan yang menjadi target, terkadang pada hari yang sama saat kredensial dicuri.
Setelah jaringan dibobol, pelaku ancaman menyebar lebih jauh melalui jaringan dengan membuang kredensial dan memasang RAT dan alat proksi untuk persistensi pada jaringan.
Tujuan akhir dari serangan ini adalah untuk mengekstrak data dari jaringan yang menjadi target, kemungkinan untuk tujuan spionase siber.
Hingga saat ini, para peneliti belum menentukan secara tepat bagaimana pelaku ancaman Quad7 membahayakan router SOHO dan perangkat jaringan lainnya.
Namun, Sekoia mengamati salah satu honeypot mereka dibobol oleh pelaku ancaman Quad7 yang memanfaatkan zero-day OpenWRT.
"Kami menunggu kurang dari seminggu sebelum mengamati serangan penting yang merantai pengungkapan file yang tidak diautentikasi yang tampaknya tidak bersifat publik saat ini (menurut pencarian Google) dan injeksi perintah," jelas Sekoia pada bulan Juli.
Bagaimana pelaku ancaman membobol perangkat lain masih menjadi misteri.