Topan Volt Meningkatkan Aktivitas Berbahaya Terhadap Infrastruktur Kritis

Kelompok spionase dunia maya yang didukung Tiongkok, Volt Typhoon, secara sistematis menargetkan perangkat Cisco lama dalam kampanye yang canggih dan tersembunyi untuk mengembangkan infrastruktur serangannya.

Dalam banyak kasus, pelaku ancaman, yang dikenal karena menargetkan infrastruktur penting, mengeksploitasi beberapa kerentanan di router pada tahun 2019, untuk membobol perangkat target dan mengambil kendali atas perangkat tersebut.

Menargetkan Sektor Infrastruktur Kritis AS

Para peneliti dari tim intelijen ancaman SecurityScorecard melihat aktivitas tersebut ketika melakukan penyelidikan lanjutan terhadap vendor terbaru dan laporan media tentang Volt Typhoon yang membobol organisasi infrastruktur penting AS dan membuka potensi gangguan di masa depan. Serangan tersebut menargetkan perusahaan air minum, pemasok listrik, transportasi, dan sistem komunikasi. Korban kelompok ini mencakup organisasi-organisasi di AS, Inggris, dan Australia.

Salah satu vendor melaporkan, dari Lumen, menggambarkan botnet yang terdiri dari router kantor kecil/kantor rumah (SOHO). yang digunakan Volt Typhoon – dan kelompok ancaman Tiongkok lainnya – sebagai jaringan komando dan kontrol (C2) dalam serangan terhadap jaringan bernilai tinggi. Jaringan yang dijelaskan Lumen dalam laporan ini sebagian besar terdiri dari router Cisco, DrayTek, dan, pada tingkat yang lebih kecil, Netgear.

Peneliti SecurityScorecard menggunakan indikator kompromi (IoC) yang dirilis Lumen bersama laporannya untuk melihat apakah mereka dapat mengidentifikasi infrastruktur baru yang terkait dengan kampanye Volt Typhoon. Itu investigasi menunjukkan aktivitas kelompok ancaman mungkin lebih luas dari perkiraan sebelumnya, kata Rob Ames, staf peneliti ancaman di SecurityScorecard.

Misalnya, Volt Typhoon tampaknya bertanggung jawab atas penyusupan sebanyak 30% — atau 325 dari 1,116 — router Cisco RV320/325 yang sudah habis masa pakainya yang diamati oleh SecurityScorecard pada botnet C2 selama periode 37 hari. Peneliti vendor keamanan mengamati koneksi reguler antara perangkat Cisco yang disusupi dan infrastruktur Volt Typhoon yang diketahui antara 1 Desember 2023 dan 7 Januari 2024, yang menunjukkan adanya operasi yang sangat aktif.

Penggalian SecurityScorecard juga menunjukkan Volt Typhoon menyebarkan “fy.sh”, sebuah shell Web yang sampai sekarang tidak diketahui pada router Cisco dan perangkat edge jaringan lainnya yang saat ini menjadi target kelompok tersebut. Selain itu, SecurityScorecard mampu mengidentifikasi beberapa alamat IP baru yang tampaknya terkait dengan aktivitas Volt Typhoon.

“SecurityScorecard menggunakan IoC yang beredar sebelumnya dan terhubung dengan Volt Typhoon untuk mengidentifikasi perangkat baru yang disusupi yang kami amati, webshell yang sebelumnya tidak ditentukan (fy.sh), dan alamat IP lain yang mungkin mewakili IoC baru,” kata Ames.

Serangan Siber yang Hidup di Luar Negeri

Topan Volt adalah kelompok ancaman yang Badan Keamanan Siber dan Infrastruktur AS (CISA) telah diidentifikasi sebagai aktor ancaman Tiongkok yang disponsori negara yang menargetkan sektor infrastruktur penting AS. Microsoft, yang pertama kali melaporkan kelompok ini pada Mei 2023, menggambarkan kelompok tersebut aktif setidaknya sejak Mei 2021, berbasis di Tiongkok, dan melakukan spionase dunia maya skala besar menggunakan serangkaian teknik hidup di luar daratan. Perusahaan menilai kelompok tersebut mengembangkan kemampuan untuk mengganggu kemampuan komunikasi penting antara AS dan Asia jika terjadi potensi konflik di masa depan.

Ames mengatakan penggunaan router yang disusupi oleh Volt Typhoon untuk transfer data merupakan salah satu indikasi komitmen kelompok tersebut terhadap tindakan sembunyi-sembunyi.

“Kelompok ini sering mengarahkan lalu lintasnya melalui perangkat ini untuk menghindari deteksi berbasis geografis ketika menargetkan organisasi di wilayah yang sama dengan router yang disusupi,” katanya. “Organisasi-organisasi ini cenderung tidak menyadari adanya aktivitas jahat jika lalu lintas yang terlibat tampaknya berasal dari wilayah tempat organisasi tersebut bermarkas.”

Penargetan Dunia Maya pada Peralatan Akhir Kehidupan yang Rentan

Penargetan perangkat yang sudah habis masa pakainya oleh Volt Typhoon juga sangat masuk akal dari sudut pandang penyerang, kata Ames. Ada sekitar 35 kerentanan kritis yang diketahui dengan tingkat keparahan setidaknya 9 dari 10 pada skala CVSS – termasuk dua dalam katalog Kerentanan yang Diketahui Dieksploitasi CISA – terkait dengan router Cisco RV320 yang menjadi target Volt Typhoon. Cisco berhenti mengeluarkan perbaikan bug, rilis pemeliharaan, dan perbaikan apa pun untuk teknologi tersebut tiga tahun lalu, pada Januari 2021. Selain perangkat Cisco, botnet yang terhubung dengan Volt Typhoon juga mencakup router lama DrayTek Vigor dan Netgear ProSafe yang telah disusupi.

“Dari sudut pandang perangkat itu sendiri, hal tersebut merupakan hasil yang mudah dicapai,” kata Ames. “Karena 'akhir masa pakai' berarti produsen perangkat tidak akan lagi mengeluarkan pembaruan untuk perangkat tersebut, kerentanan yang memengaruhi perangkat tersebut kemungkinan besar tidak akan teratasi, sehingga perangkat rentan terhadap kompromi.”

Callie Guenther, manajer senior penelitian ancaman dunia maya di Critical Start, mengatakan bahwa penargetan strategis Volt Typhoon terhadap router Cisco yang sudah habis masa pakainya, pengembangan alat khusus seperti fy.sh, dan penargetan geografis dan sektoralnya menunjukkan operasi yang sangat canggih.

“Berfokus pada sistem lama bukanlah taktik umum di kalangan pelaku ancaman, terutama karena hal ini memerlukan pengetahuan khusus tentang sistem lama dan kerentanannya, yang mungkin tidak diketahui atau didokumentasikan secara luas,” kata Guenther. “Namun, tren ini sedang berkembang, terutama di kalangan aktor yang disponsori negara yang memiliki sumber daya dan motivasi untuk melakukan pengintaian ekstensif dan mengembangkan eksploitasi yang disesuaikan dengan kebutuhan.”

Sebagai contoh, ia menunjuk pada beberapa pelaku ancaman yang menargetkan apa yang disebut sebagai ancaman Kerentanan Ripple20 dalam tumpukan TCP/IP yang memengaruhi jutaan perangkat IoT lama, serta kelompok ancaman Tiongkok dan Iran yang menargetkan kelemahan pada produk VPN lama.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure