Dari risiko-risiko keamanan siber yang dihadapi Amerika Serikat saat ini, hanya sedikit yang lebih besar daripada potensi kemampuan sabotase yang ditimbulkan oleh para peretas yang didukung Tiongkok, yang oleh para pejabat senior keamanan nasional AS digambarkan sebagai “ancaman yang menentukan zaman.”
AS mengatakan para peretas yang didukung pemerintah Tiongkok telah – dalam beberapa kasus selama bertahun-tahun – telah menyusup jauh ke dalam jaringan infrastruktur penting AS, termasuk penyedia air, energi, dan transportasi. Tujuannya, kata para pejabat, adalah untuk meletakkan dasar bagi serangan siber yang berpotensi merusak jika terjadi konflik di masa depan antara Tiongkok dan Amerika Serikat, seperti konflik di masa depan. kemungkinan invasi Tiongkok ke Taiwan.
“Peretas Tiongkok memanfaatkan infrastruktur Amerika sebagai persiapan untuk mendatangkan malapetaka dan menyebabkan kerugian nyata bagi warga dan komunitas Amerika, jika atau ketika Tiongkok memutuskan waktunya telah tiba untuk menyerang,” Direktur FBI yang saat itu menjabat, Christopher Wray, mengatakan kepada anggota parlemen tahun lalu.
Pemerintah AS dan sekutunya telah mengambil tindakan terhadap beberapa kelompok peretas Tiongkok yang merupakan keluarga “Typhoon”, dan menerbitkan rincian baru tentang ancaman yang ditimbulkan oleh kelompok-kelompok ini.
Pada bulan Januari 2024, AS mengganggu “Volt Typhoon,” sekelompok peretas pemerintah Tiongkok yang bertugas menyiapkan panggung untuk serangan siber yang merusak. Kemudian pada bulan September 2024, otoritas federal mengambil alih botnet yang dijalankan oleh kelompok peretas Tiongkok lainnya yang disebut “Flax Typhoon,” yang menggunakan perusahaan keamanan siber yang berbasis di Beijing untuk membantu menyembunyikan aktivitas peretas pemerintah Tiongkok. Kemudian pada bulan Desember 2025, pemerintah AS memberikan sanksi kepada perusahaan keamanan siber tersebut atas dugaan perannya dalam “beberapa insiden intrusi komputer terhadap korban di AS.”
Sejak munculnya Volt Typhoon, kelompok peretas baru yang didukung Tiongkok bernama “Salt Typhoon” muncul di jaringan raksasa telepon dan internet AS, yang mampu mengumpulkan informasi intelijen tentang orang Amerika – dan target potensial pengawasan AS – dengan menyusupi sistem telekomunikasi yang digunakan untuk tujuan tersebut. penyadapan telepon penegak hukum.
Inilah yang telah kami pelajari tentang kelompok peretas Tiongkok yang bersiap berperang.
Topan Volt
Volt Typhoon mewakili generasi baru kelompok peretas yang didukung Tiongkok; tidak lagi hanya bertujuan untuk mencuri rahasia sensitif AS, namun bersiap untuk mengganggu “kemampuan mobilisasi” militer AS, menurut direktur FBI saat itu.
Microsoft pertama kali mengidentifikasi Volt Typhoon pada bulan Mei 2023, menemukan bahwa para peretas telah menargetkan dan menyusupi peralatan jaringan, seperti router, firewall, dan VPN, setidaknya sejak pertengahan tahun 2021 sebagai bagian dari upaya berkelanjutan dan terpadu untuk menyusup jauh ke dalam sistem infrastruktur penting AS. Komunitas intelijen AS mengatakan bahwa pada kenyataannya, kemungkinan besar para peretas beroperasi lebih lama, mungkin hingga lima tahun.
Volt Typhoon menyusupi ribuan perangkat yang terhubung ke internet dalam beberapa bulan setelah laporan Microsoft, mengeksploitasi kerentanan pada perangkat yang dianggap “akhir masa pakainya” dan oleh karena itu tidak lagi menerima pembaruan keamanan. Kelompok peretas ini kemudian memperoleh akses lebih lanjut ke lingkungan TI di berbagai sektor infrastruktur penting, termasuk penerbangan, air, energi, dan transportasi, dan bersiap untuk mengaktifkan serangan siber yang mengganggu di masa depan yang bertujuan memperlambat respons pemerintah AS terhadap invasi sekutu utamanya. Taiwan.
“Aktor ini tidak melakukan pengumpulan intelijen secara diam-diam dan pencurian rahasia yang telah menjadi norma di AS. Mereka menyelidiki infrastruktur penting yang sensitif sehingga dapat mengganggu layanan utama jika, dan ketika, perintah tersebut dicabut,” kata John Hultquist, kepala analis di perusahaan keamanan Mandiant.
Itu Pemerintah AS mengatakan pada Januari 2024 bahwa mereka telah berhasil mengganggu botnet, yang digunakan oleh Volt Typhoon, yang terdiri dari ribuan router jaringan kantor kecil dan rumah berbasis di AS yang dibajak, yang digunakan oleh kelompok peretas Tiongkok untuk menyembunyikan aktivitas jahatnya yang bertujuan menargetkan infrastruktur penting AS. FBI mengatakan pihaknya mampu menghapus malware dari router yang dibajak melalui operasi yang disetujui pengadilan, sehingga memutuskan koneksi kelompok peretas Tiongkok ke botnet.
Pada bulan Januari 2025, AS telah menemukan lebih dari 100 intrusi di seluruh negeri dan wilayahnya yang terkait dengan Volt Typhoon, menurut laporan Bloomberg. Sejumlah besar serangan ini menargetkan Guam, wilayah kepulauan AS di Pasifik dan lokasi strategis bagi operasi militer Amerika, kata laporan itu. Volt Typhoon diduga menargetkan infrastruktur penting di pulau itu, termasuk otoritas listrik utamanya, penyedia seluler terbesar di pulau itu, dan beberapa jaringan federal AS, termasuk sistem pertahanan sensitif, yang berbasis di Guam. Bloomberg melaporkan bahwa Volt Typhoon menggunakan jenis malware yang benar-benar baru untuk menargetkan jaringan di Guam yang belum pernah disebarkan sebelumnya, yang oleh para peneliti dianggap sebagai tanda betapa pentingnya wilayah tersebut bagi para peretas yang didukung Tiongkok.
Topan Rami
Flax Typhoon, pertama kali dikeluarkan oleh Microsoft beberapa bulan kemudian laporan Agustus 2023adalah kelompok peretas lain yang didukung Tiongkok, yang menurut para pejabat beroperasi dengan menyamar sebagai perusahaan keamanan siber publik yang berbasis di Beijing untuk melakukan peretasan terhadap infrastruktur penting dalam beberapa tahun terakhir. Microsoft mengatakan Flax Typhoon – juga aktif sejak pertengahan tahun 2021 – sebagian besar menargetkan lusinan “lembaga pemerintah dan pendidikan, manufaktur penting, dan organisasi teknologi informasi di Taiwan.”
Kemudian pada bulan September 2023, pemerintah AS mengatakan telah mengambil alih botnet lain, yang terdiri dari ratusan ribu perangkat terhubung internet yang dibajak, dan digunakan oleh Flax Typhoon untuk “melakukan aktivitas siber berbahaya yang menyamar sebagai lalu lintas internet rutin dari perangkat konsumen yang terinfeksi.” Jaksa mengatakan botnet tersebut memungkinkan peretas lain yang didukung pemerintah Tiongkok untuk “meretas jaringan di AS dan di seluruh dunia untuk mencuri informasi dan membahayakan infrastruktur kami.”
Departemen Kehakiman kemudian menguatkan temuan Microsoft, menambahkan bahwa Flax Typhoon juga “menyerang banyak perusahaan AS dan asing.”
Para pejabat AS mengatakan bahwa botnet yang digunakan oleh Flax Typhoon dioperasikan dan dikendalikan oleh perusahaan keamanan siber yang berbasis di Beijing, Integrity Technology Group. Pada bulan Januari 2024, pemerintah AS menjatuhkan sanksi terhadap Integrity Tech atas dugaan kaitannya dengan Flax Typhoon.
Topan Garam
Kelompok terbaru – dan mungkin paling tidak menyenangkan – dalam pasukan siber yang didukung pemerintah Tiongkok yang terungkap dalam beberapa bulan terakhir adalah Salt Typhoon.
Topan Garam menjadi berita utama pada bulan Oktober 2024 karena jenis operasi pengumpulan informasi yang berbeda. Sebagai pertama kali dilaporkan oleh The Wall Street Journalkelompok peretas yang terkait dengan Tiongkok menyusupi beberapa penyedia telekomunikasi dan internet AS, termasuk AT&T, Lumen (sebelumnya CenturyLink), dan Verizon. Jurnal dilaporkan kemudian pada bulan Januari 2025 bahwa Salt Typhoon juga melanggar penyedia internet Charter Communications dan Windstream yang berbasis di AS. Pejabat dunia maya AS Anne Neuberger mengatakan pemerintah federal telah mengidentifikasi perusahaan telekomunikasi kesembilan yang diretas dan tidak disebutkan namanya.
Menurut satu laporanSalt Typhoon mungkin mendapatkan akses ke perusahaan telekomunikasi ini menggunakan router Cisco yang disusupi. Begitu berada di dalam jaringan telekomunikasi, para penyerang dapat mengakses metadata panggilan pelanggan dan pesan teks, termasuk tanggal dan waktu komunikasi pelanggan, alamat IP sumber dan tujuan, dan nomor telepon dari lebih dari satu juta pengguna; sebagian besar adalah individu yang berlokasi di wilayah Washington DC. Dalam beberapa kasus, para peretaslah yang melakukannya mampu menangkap audio telepon dari orang Amerika senior. Neuberger mengatakan bahwa “sejumlah besar” dari mereka yang mengakses data adalah “target kepentingan pemerintah.”
Dengan meretas sistem yang digunakan lembaga penegak hukum untuk pengumpulan data pelanggan yang diizinkan pengadilan, Salt Typhoon juga berpotensi memperoleh akses ke data dan sistem yang menampung sebagian besar permintaan data pemerintah AS, termasuk potensi identitas target pengawasan AS di Tiongkok.
Belum diketahui kapan pelanggaran sistem penyadapan telepon itu terjadi, tetapi mungkin terjadi pada awal tahun 2024, menurut laporan Journal.
AT&T dan Verizon mengatakan kepada TechCrunch pada bulan Desember 2024 bahwa jaringan mereka aman setelah menjadi sasaran kelompok spionase Salt Typhoon. Lumen segera mengonfirmasi bahwa jaringannya bebas dari peretas.
Pertama kali diterbitkan 13 Oktober 2024 dan diperbarui.
