Dari risiko-risiko keamanan siber yang dihadapi Amerika Serikat saat ini, hanya sedikit yang lebih besar daripada potensi kemampuan sabotase yang ditimbulkan oleh para peretas yang didukung Tiongkok, yang oleh para pejabat senior keamanan nasional AS digambarkan sebagai “ancaman yang menentukan zaman.”
AS mengatakan para peretas yang didukung pemerintah Tiongkok telah – dalam beberapa kasus selama bertahun-tahun – telah menyusup jauh ke dalam jaringan infrastruktur penting AS, termasuk penyedia air, energi, dan transportasi. Tujuannya, kata para pejabat, adalah untuk meletakkan dasar bagi serangan siber yang berpotensi merusak jika terjadi konflik di masa depan antara Tiongkok dan Amerika Serikat, seperti konflik di masa depan. kemungkinan invasi Tiongkok ke Taiwan.
“Peretas Tiongkok memanfaatkan infrastruktur Amerika sebagai persiapan untuk mendatangkan malapetaka dan menyebabkan kerugian nyata bagi warga dan komunitas Amerika, jika atau ketika Tiongkok memutuskan waktunya telah tiba untuk menyerang,” Direktur FBI yang saat itu menjabat, Christopher Wray, mengatakan kepada anggota parlemen tahun lalu.
Pemerintah AS dan sekutunya telah mengambil tindakan terhadap beberapa kelompok peretas Tiongkok yang merupakan keluarga “Typhoon”, dan menerbitkan rincian baru tentang ancaman yang ditimbulkan oleh kelompok-kelompok ini.
Pada bulan Januari 2024, AS mengganggu “Volt Typhoon,” sekelompok peretas pemerintah Tiongkok yang bertugas menyiapkan panggung untuk serangan siber yang merusak. Kemudian, pada bulan September 2024, otoritas federal mengambil alih botnet yang dijalankan oleh kelompok peretas Tiongkok lainnya yang disebut “Flax Typhoon,” yang menggunakan perusahaan keamanan siber yang berbasis di Beijing untuk membantu menyembunyikan aktivitas peretas pemerintah Tiongkok. Kemudian pada bulan Desember, pemerintah AS memberikan sanksi kepada perusahaan keamanan siber tersebut atas dugaan perannya dalam “beberapa insiden intrusi komputer terhadap korban di AS.”
Sejak itu, kelompok peretas baru lainnya yang didukung Tiongkok bernama “Salt Typhoon” muncul di jaringan raksasa telepon dan internet AS, yang mampu mengumpulkan informasi intelijen tentang warga Amerika – dan target potensial pengawasan AS – dengan menyusupi sistem telekomunikasi yang digunakan untuk penyadapan telepon oleh penegak hukum.
Dan, aktor ancaman Tiongkok bernama Silk Typhoon (sebelumnya dikenal sebagai Hafnium), sebuah kelompok peretas yang telah aktif setidaknya sejak tahun 2021, kembali pada bulan Desember 2024 dengan kampanye baru yang menargetkan Departemen Keuangan AS.
Inilah yang telah kami pelajari tentang kelompok peretas Tiongkok yang bersiap berperang.
Topan Volt
Volt Typhoon mewakili generasi baru kelompok peretas yang didukung Tiongkok; tidak lagi hanya bertujuan untuk mencuri rahasia sensitif AS, namun bersiap untuk mengganggu “kemampuan mobilisasi” militer AS, menurut direktur FBI saat itu.
Microsoft pertama kali mengidentifikasi Volt Typhoon pada bulan Mei 2023, menemukan bahwa para peretas telah menargetkan dan menyusupi peralatan jaringan, seperti router, firewall, dan VPN, setidaknya sejak pertengahan tahun 2021 sebagai bagian dari upaya berkelanjutan dan terpadu untuk menyusup jauh ke dalam sistem infrastruktur penting AS. Komunitas intelijen AS mengatakan bahwa pada kenyataannya, kemungkinan besar para peretas beroperasi lebih lama, mungkin hingga lima tahun.
Volt Typhoon menyusupi ribuan perangkat yang terhubung ke internet dalam beberapa bulan setelah laporan Microsoft, mengeksploitasi kerentanan pada perangkat yang dianggap “akhir masa pakainya” dan oleh karena itu tidak lagi menerima pembaruan keamanan. Kelompok peretas ini kemudian memperoleh akses lebih lanjut ke lingkungan TI di berbagai sektor infrastruktur penting, termasuk penerbangan, air, energi, dan transportasi, dan bersiap untuk mengaktifkan serangan siber yang mengganggu di masa depan yang bertujuan memperlambat respons pemerintah AS terhadap invasi sekutu utamanya. Taiwan.
“Aktor ini tidak melakukan pengumpulan intelijen secara diam-diam dan pencurian rahasia yang telah menjadi norma di AS. Mereka menyelidiki infrastruktur penting yang sensitif sehingga dapat mengganggu layanan utama jika, dan ketika, perintah tersebut dicabut,” kata John Hultquist, kepala analis di perusahaan keamanan Mandiant.
Itu Pemerintah AS mengatakan pada Januari 2024 bahwa mereka telah berhasil mengganggu botnet, yang digunakan oleh Volt Typhoon, yang terdiri dari ribuan router jaringan kantor kecil dan rumah berbasis di AS yang dibajak, yang digunakan oleh kelompok peretas Tiongkok untuk menyembunyikan aktivitas jahatnya yang bertujuan menargetkan infrastruktur penting AS. FBI mengatakan pihaknya mampu menghapus malware dari router yang dibajak melalui operasi yang disetujui pengadilan, sehingga memutuskan koneksi kelompok peretas Tiongkok ke botnet.
Pada bulan Januari 2025, AS telah menemukan lebih dari 100 intrusi di seluruh negeri dan wilayahnya yang terkait dengan Volt Typhoon, menurut laporan Bloomberg. Sejumlah besar serangan ini menargetkan Guam, wilayah kepulauan AS di Pasifik dan lokasi strategis bagi operasi militer Amerika, kata laporan itu. Volt Typhoon diduga menargetkan infrastruktur penting di pulau itu, termasuk otoritas listrik utamanya, penyedia seluler terbesar di pulau itu, dan beberapa jaringan federal AS, termasuk sistem pertahanan sensitif, yang berbasis di Guam. Bloomberg melaporkan bahwa Volt Typhoon menggunakan jenis malware yang benar-benar baru untuk menargetkan jaringan di Guam yang belum pernah disebarkan sebelumnya, yang oleh para peneliti dianggap sebagai tanda betapa pentingnya wilayah tersebut bagi para peretas yang didukung Tiongkok.
Topan Rami
Flax Typhoon, pertama kali dikeluarkan oleh Microsoft beberapa bulan kemudian laporan Agustus 2023adalah kelompok peretas lain yang didukung Tiongkok, yang menurut para pejabat beroperasi dengan menyamar sebagai perusahaan keamanan siber publik yang berbasis di Beijing untuk melakukan peretasan terhadap infrastruktur penting dalam beberapa tahun terakhir. Microsoft mengatakan Flax Typhoon – juga aktif sejak pertengahan tahun 2021 – sebagian besar menargetkan lusinan “lembaga pemerintah dan pendidikan, manufaktur penting, dan organisasi teknologi informasi di Taiwan.”
Kemudian pada bulan September 2023, pemerintah AS mengatakan telah mengambil alih botnet lain, yang terdiri dari ratusan ribu perangkat terhubung internet yang dibajak, dan digunakan oleh Flax Typhoon untuk “melakukan aktivitas siber berbahaya yang menyamar sebagai lalu lintas internet rutin dari perangkat konsumen yang terinfeksi.” Jaksa mengatakan botnet tersebut memungkinkan peretas lain yang didukung pemerintah Tiongkok untuk “meretas jaringan di AS dan di seluruh dunia untuk mencuri informasi dan membahayakan infrastruktur kami.”
Departemen Kehakiman kemudian menguatkan temuan Microsoft, menambahkan bahwa Flax Typhoon juga “menyerang banyak perusahaan AS dan asing.”
Para pejabat AS mengatakan bahwa botnet yang digunakan oleh Flax Typhoon dioperasikan dan dikendalikan oleh perusahaan keamanan siber yang berbasis di Beijing, Integrity Technology Group. Pada bulan Januari 2024, pemerintah AS menjatuhkan sanksi terhadap Integrity Tech atas dugaan kaitannya dengan Flax Typhoon.
Topan Garam
Kelompok terbaru – dan mungkin paling tidak menyenangkan – dalam pasukan siber yang didukung pemerintah Tiongkok yang terungkap dalam beberapa bulan terakhir adalah Salt Typhoon.
Topan Garam menjadi berita utama pada bulan Oktober 2024 karena jenis operasi pengumpulan informasi yang berbeda. Sebagai pertama kali dilaporkan oleh The Wall Street Journalkelompok peretas yang terkait dengan Tiongkok menyusupi beberapa penyedia telekomunikasi dan internet AS, termasuk AT&T, Lumen (sebelumnya CenturyLink), dan Verizon. Jurnal dilaporkan kemudian pada bulan Januari 2025 bahwa Salt Typhoon juga melanggar penyedia internet Charter Communications dan Windstream yang berbasis di AS. Pejabat dunia maya AS Anne Neuberger mengatakan pemerintah federal telah mengidentifikasi perusahaan telekomunikasi kesembilan yang diretas dan tidak disebutkan namanya.
Menurut satu laporanSalt Typhoon mungkin mendapatkan akses ke perusahaan telekomunikasi ini menggunakan router Cisco yang disusupi. Begitu berada di dalam jaringan telekomunikasi, para penyerang dapat mengakses metadata panggilan pelanggan dan pesan teks, termasuk tanggal dan waktu komunikasi pelanggan, alamat IP sumber dan tujuan, dan nomor telepon dari lebih dari satu juta pengguna; sebagian besar adalah individu yang berlokasi di wilayah Washington DC. Dalam beberapa kasus, para peretaslah yang melakukannya mampu menangkap audio telepon dari orang Amerika senior. Neuberger mengatakan bahwa “sejumlah besar” dari mereka yang mengakses data adalah “target kepentingan pemerintah.”
Dengan meretas sistem yang digunakan lembaga penegak hukum untuk pengumpulan data pelanggan yang diizinkan pengadilan, Salt Typhoon juga berpotensi memperoleh akses ke data dan sistem yang menampung sebagian besar permintaan data pemerintah AS, termasuk potensi identitas target pengawasan AS di Tiongkok.
Belum diketahui kapan pelanggaran sistem penyadapan telepon itu terjadi, tetapi mungkin terjadi pada awal tahun 2024, menurut laporan Journal.
AT&T dan Verizon mengatakan kepada TechCrunch pada bulan Desember 2024 bahwa jaringan mereka aman setelah menjadi sasaran kelompok spionase Salt Typhoon. Lumen segera mengonfirmasi bahwa jaringannya bebas dari peretas.
Topan Sutra
Kelompok peretas yang didukung Tiongkok yang sebelumnya dikenal sebagai Hafnium diam-diam muncul kembali sebagai Silk Typhoon yang baru setelah dikaitkan dengan peretasan pada bulan Desember 2024 di Departemen Keuangan AS.
Dalam sebuah surat kepada anggota parlemen yang dilihat oleh TechCrunch, Departemen Keuangan AS mengatakan pada akhir Desember 2024 bahwa peretas yang didukung Tiongkok menggunakan kunci yang dicuri dari BeyondTrust – sebuah perusahaan yang menyediakan teknologi akses identitas untuk organisasi besar dan departemen pemerintah – untuk mendapatkan akses jarak jauh ke data tertentu. Stasiun kerja pegawai Departemen Keuangan, tempat mereka menemukan dokumen internal di jaringan departemen yang tidak diklasifikasikan.
Selama peretasan tersebut, kelompok peretas yang disponsori negara juga menyusupi kantor sanksi Departemen Keuangan, yang menjatuhkan sanksi ekonomi dan perdagangan terhadap negara dan individu. Mereka juga melanggar Komite Penanaman Modal Asing di Amerika Serikat (CFIUS) Departemen Keuangan pada bulan Desember, sebuah kantor yang memiliki wewenang untuk memblokir investasi Tiongkok di Amerika Serikat.
Silk Typhoon bukanlah kelompok ancaman baru, yang sebelumnya menjadi berita utama pada tahun 2021 sebagai Hafnium — sebutan untuk saat itu — karena mengeksploitasi kerentanan di server email Microsoft Exchange yang dihosting sendiri dan membahayakan lebih dari 60.000 organisasi.
Menurut Microsoftyang melacak kelompok peretasan yang didukung pemerintah, Silk Typhoon biasanya berfokus pada pengintaian dan pencurian data dan dikenal menargetkan organisasi layanan kesehatan, firma hukum, dan organisasi non-pemerintah di Australia, Jepang, Vietnam, dan Amerika Serikat.
Pertama kali diterbitkan 13 Oktober 2024, dan diperbarui.
