Microsoft Berhasil Temukan Peretas China Targetkan Infrastruktur Vital AS dan Asia
JAKARTA - Microsoft berhasil mengungkap aktivitas berbahaya yang ditargetkan oleh Volt Typhoon, aktor yang disponsori China dan biasanya berfokus pada spionase dan pengumpulan informasi.
Menurut Microsoft, Volt Typhoon menargetkan pengembangan kemampuan yang dapat mengganggu infrastruktur komunikasi penting antara Amerika Serikat (AS) dan kawasan Asia selama krisis di masa mendatang.
Volt Typhoon telah aktif sejak pertengahan 2021 dan menargetkan organisasi infrastruktur penting di Guam dan tempat lain di AS, seperti dikutip dari blog Microsoft, Kamis, 25 Mei.
Dalam kampanye ini, organisasi yang terkena dampak mencakup sektor komunikasi, manufaktur, utilitas, transportasi, konstruksi, maritim, pemerintahan, teknologi informasi, dan pendidikan.
Perilaku yang diamati Microsoft, menunjukkan pelaku ancaman berniat melakukan spionase dan mempertahankan akses tanpa terdeteksi selama mungkin.
Untuk mencapai tujuan mereka, aktor ancaman tersebut sangat menekankan pada stealth dalam kampanye ini, mengandalkan hampir secara eksklusif pada teknik hidup-dari-darat dan aktivitas keyboard langsung.
Perusahaan mengatakan, kampanye tersebut dilakukan secara diam-diam, termasuk dengan memadukan aktivitas jaringan normal dengan merutekan lalu lintas melalui peralatan jaringan seperti router, firewall, dan perangkat keras VPN.
Mereka mengeluarkan perintah melalui baris perintah untuk mengumpulkan data, termasuk kredensial dari sistem lokal dan jaringan, memasukkan data ke dalam file arsip untuk melakukan eksfiltrasi, dan kemudian menggunakan kredensial valid yang dicuri untuk memelihara kegigihan.
Baca juga:
- Microsoft Segera Luncurkan Copilot di Windows 11, Siap-siap untuk Transformasi Revolusioner!
- Mantan Komisaris CFTC: Ethereum Bisa Diklasifikasikan Sebagai Komoditas dan Efek Keamanan
- OpenAI Memprediksi Manusia Super dari AI Akan Muncul dalam 10 Tahun Mendatang
- FBI Peringatkan Warga AS tentang Iklan Penipuan Pekerjaan Terkait Investasi Kripto
Selain itu, Volt Typhoon juga mencoba berbaur ke dalam aktivitas jaringan normal dengan merutekan lalu lintas melalui peralatan jaringan kantor kecil dan rumah (SOHO) yang disusupi, termasuk router, firewall, dan perangkat keras VPN.
Diamati pula, mereka menggunakan versi khusus alat sumber terbuka untuk membuat saluran perintah dan kontrol (C2) melalui proxy agar tetap berada di bawah radar.
Karena aktivitas ini bergantung pada akun yang valid dan live-off-the-land binaries (LOLBins), mendeteksi dan memitigasi serangan ini dapat menjadi tantangan. Akun yang disusupi harus ditutup atau diubah.
Seperti halnya aktivitas aktor negara-negara yang diamati, Microsoft telah secara langsung memberi tahu pelanggan yang ditargetkan atau dikompromikan, memberi mereka informasi penting yang diperlukan untuk mengamankan lingkungan mereka.
Berikut ini aktivitas atau perilaku yang terkait dengan Volt Typhoon yang dilacak Microsoft Defender Antivirus.
1. Perilaku: Win32/SuspNtdsUtilUsage.A
2. Perilaku: Win32/SuspPowershellExec.E
3. Perilaku: Win32/SuspRemoteCmdCommandParent.A
4. Perilaku: Operasi Win32/UNCFilePath
5. Perilaku: Win32/VSSAmsiCaller.A
6. Perilaku: Win32/WinrsCommand.A
7. Perilaku:Win32/WmiSuspProcExec.J!se
8. Perilaku: Win32/WmicRemote.A
9. Perilaku: Win32/WmiprvseRemoteProc.B