Microsoft memperingatkan dugaan kelompok peretas China menargetkan infrastruktur penting

Periset di Microsoft Corp. hari ini merinci serangan dunia maya canggih yang ditujukan pada infrastruktur kritis AS, yang diatur oleh dugaan aktor yang disponsori negara yang berbasis di China.

Kelompok peretas yang dikenal dengan nama Volt Typhoon ini telah aktif sejak pertengahan 2021 dan diduga bersiap untuk mengganggu jaringan komunikasi AS-Asia dalam potensi krisis di masa depan. Sektor-sektor yang terkena dampak kampanye tersebut meliputi komunikasi, manufaktur, utilitas, transportasi, konstruksi, maritim, pemerintahan, teknologi informasi, dan pendidikan.

Para peneliti mengatakan bahwa kampanye Volt Typhoon menekankan pada sembunyi-sembunyi, menggunakan teknik canggih seperti binari LOLBins yang hidup di luar negeri dan aktivitas hands-on-keyboard. Taktik grup termasuk mengumpulkan kredensial, mengatur data untuk eksfiltrasi, dan mempertahankan kegigihan dalam sistem yang disusupi menggunakan kredensial yang valid.

Grup mengaburkan dirinya sendiri dengan mencoba untuk berbaur dengan aktivitas jaringan biasa dengan merutekan lalu lintas melalui peralatan jaringan kantor kecil dan rumah yang dikompromikan dan membangun saluran perintah-dan-kontrol melalui proksi menggunakan alat sumber terbuka khusus.

Menurut New York Times, badan-badan intelijen AS pertama kali menyadari kampanye Volt Typhoon pada bulan Februari, pada waktu yang hampir bersamaan balon mata-mata Cina melintasi Amerika Utara. Penyusupan difokuskan pada infrastruktur komunikasi di Guam dan bagian lain AS, mengkhawatirkan para pejabat intelijen karena Guam sangat penting untuk menanggapi invasi Taiwan di masa depan.

Peneliti Microsoft mencatat bahwa mendeteksi dan mengurangi infiltrasi oleh Volt Typhoon bisa jadi sulit karena penggunaan akun dan LOLBins yang valid. Untuk mengatasi akun yang disusupi, Microsoft telah memberikan informasi mendetail tentang aktivitas Volt Typhoon, strategi mitigasi, praktik terbaik, dan detail tentang cara Microsoft 365 Defender mendeteksi aktivitas tersebut.

“Karena aktivitas ini bergantung pada akun yang valid dan binari hidup-dari-darat, mendeteksi dan mengurangi serangan ini dapat menjadi tantangan,” catat para peneliti. “Akun yang disusupi harus ditutup atau diubah.”

Keamanan Nasional AS juga telah menerbitkan Joint Cybersecurity Advisory bersama otoritas dari Australia, Kanada, Selandia Baru, dan Inggris — yang disebut negara Lima Mata — berisi panduan untuk taktik, teknik, dan prosedur yang digunakan dalam jenis serangan ini.

Microsoft telah memberi tahu pelanggan yang ditargetkan atau dikompromikan secara langsung dan memberikan informasi yang diperlukan untuk mengamankan sistem mereka.

“Ketegangan geopolitik terwujud di dunia maya,” kata Tom Kellermann, wakil presiden senior Cyber ​​Strategy di penyedia platform perangkat lunak keamanan aplikasi, Contrast Security Inc., kepada SiliconANGLE. “China secara aktif membangun infrastruktur kritis AS sebelum menginvasi Taiwan. Serangan-serangan ini, ditambah dengan krisis utang, akan menjadi awal dari invasi ke Taiwan.”

Roger Grimes, penginjil pertahanan berbasis data di perusahaan pelatihan kesadaran keamanan KnowBe4 Inc., mencatat bahwa Volt Typhoon menarik karena berfokus pada router yang tidak ditambal dan tidak aman serta perangkat jaringan lainnya dan tidak menggunakan phishing sebagai metode akses awal utama.

“Sebagian besar musuh yang diarahkan oleh manusia sekarang ‘hidup dari tanah,’ menggunakan alat dan program bawaan, membuatnya jauh lebih sulit untuk mendeteksi perilaku jahat,” jelas Grimes. “Setiap organisasi harus memeriksa seperti apa perilaku anomali ketika digunakan oleh musuh jahat dan bagaimana cara mendeteksi dan menguranginya.”

Foto: Pexels