Serangan Siber Tiongkok Diduga Dilakukan terhadap Agen Rahasia AS

Peretas mengeksploitasi kerentanan zero-day di Versa Director—perangkat lunak yang banyak digunakan oleh ISP untuk mengamankan operasi jaringan—yang membahayakan beberapa perusahaan internet di Amerika Serikat (AS) dan luar negeri, menurut Black Lotus Labs, divisi penelitian ancaman Lumen Technologies.

Lumen menduga serangan itu mungkin berasal dari China.

Admin ini benar-benar terganggu. Pertanyaannya adalah apakah akun tersebut diretas atau orang China diberi akses oleh orang dalam?)

Peretas Tiongkok membobol akun pemerintah dan militer Amerika https://t.co/bbL3zRKMdi

— Pog (@OSINT220) 27 Agustus 2024

Lumen mencatat:

“Berdasarkan taktik dan teknik yang diketahui dan diamati, Black Lotus Labs mengaitkan eksploitasi zero-day CVE-2024-39717 dan penggunaan operasional web shell VersaMem dengan keyakinan sedang kepada aktor ancaman yang disponsori negara Tiongkok yang dikenal sebagai Volt Typhoon dan Bronze Silhouette.”

Peneliti Lumen mengidentifikasi empat korban AS dan satu korban asing, dengan target yang dilaporkan termasuk personel pemerintah dan militer yang bekerja secara rahasia, serta kelompok lain yang memiliki kepentingan strategis bagi China.

Para peneliti memperingatkan bahwa eksploitasi tersebut tetap aktif terhadap sistem Versa Director yang belum ditambal.

Brandon Wales, mantan direktur eksekutif Badan Keamanan Siber dan Infrastruktur AS (CISA), menyoroti semakin canggihnya serangan siber Tiongkok dan menyerukan peningkatan investasi keamanan siber.

CISA melaporkan peretas Tiongkok dan lainnya telah menyusup ke utilitas dan sistem penting AS hingga 5 tahun dan tetap mempertahankan akses.

Ini mengkhawatirkan dan dapat mengakibatkan konsekuensi besar. Dikhawatirkan akan meledak pada akhirnya. pic.twitter.com/xLXqm3OeDj

— Dagnum P.I. (@Dagnum_PI) 27 Agustus 2024

Dia mengungkapkan:

“China terus menargetkan infrastruktur penting AS. Terbongkarnya upaya Volt Typhoon jelas telah mengakibatkan perubahan taktik dan taktik dagang yang mereka gunakan, tetapi kita tahu bahwa mereka terus berupaya setiap hari untuk membahayakan infrastruktur penting AS.”

Black Lotus Labs menekankan beratnya kerentanan dan mendesak organisasi yang menggunakan Versa Director untuk meningkatkan ke versi 22.1.4 atau yang lebih baru.

Tiongkok Membantah Tuduhan

China membantah tuduhan tersebut, dan menyatakan bahwa "Volt Typhoon" sebenarnya adalah kelompok penjahat dunia maya ransomware yang menyebut dirinya sebagai "Kekuatan Gelap" dan tidak disponsori oleh negara atau wilayah mana pun.

Penyangkalan ini dibuat oleh juru bicara kedutaan Liu Pengyu dan digaungkan oleh Lin Jian, juru bicara Kementerian Luar Negeri Tiongkok, dalam komunikasinya dengan Global Times pada tanggal 15 April.

Menurut temuannya, Volt Typhoon memanfaatkan web shell khusus yang dikenal sebagai "VersaMem" untuk menangkap rincian login pengguna.

Tinjauan umum proses eksploitasi Versa Director dan fungsionalitas web shell VersaMem

VersaMem adalah perangkat lunak berbahaya canggih yang melekatkan dirinya pada berbagai proses dan memanipulasi kode Java dari server yang rentan.

Ia beroperasi sepenuhnya dalam memori, membuatnya sangat sulit dideteksi.

Server Versa Director Menjadi Sasaran Eksploitasi

Eksploitasi tersebut secara khusus menargetkan server Versa Director, yang umum digunakan oleh penyedia layanan internet dan terkelola, menjadikannya target utama bagi aktor ancaman yang ingin menembus sistem manajemen jaringan perusahaan.

Versa Networks mengonfirmasi kerentanan tersebut pada hari Senin, dengan menyatakan bahwa kerentanan tersebut telah dieksploitasi "setidaknya dalam satu kejadian yang diketahui."

Menurut Lumen, web shell VersaMem pertama kali terdeteksi di VirusTotal pada 7 Juni, sesaat sebelum eksploitasi awal.

Tangkapan layar dari VirusTotal untuk VersaTest.png (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37) menunjukkan 0 deteksi

Malware tersebut, yang dikompilasi menggunakan Apache Maven, menyertakan komentar dalam karakter Cina di dalam kode dan tetap tidak terdeteksi oleh perangkat lunak antivirus hingga pertengahan Agustus.