Hacker China Diduga Sadap Ribuan Warga AS Lewat Peretasan Operator Seluler

Liputan6.com, Jakarta Laporan terbaru mengungkap golongan mata-mata rawan asal China telah meretas sejumlah operator seluler di Amerika Serikat (AS)

Rincian baru terus bermunculan tentang peretasan oleh golongan nan mengenai dengan China nan menargetkan pejabat dan staf kampanye AS.

Terkini, laporan The Wall Street Journal, sebagaimana dikutip dari Engadget, Jumat (8/11/2024), mengungkap bahwa akses peretas apalagi lebih besar dari nan dilaporkan sebelumnya, di mana ribuan warga AS mungkin telah terpengaruh.

Minggu lalu, The New York Times melaporkan penyelidik FBI menduga log panggilan dan pesan SMS telah diakses oleh golongan hacker China, nan dikenal sebagai 'Salt Typhoon'.

Kelompok tersebut dilaporkan menargetkan telepon diplomat dan pejabat pemerintah, serta orang-orang nan mengenai dengan kedua kampanye presiden.

Sekarang, The Wall Street Journal melaporkan bahwa peretas, yang diduga bekerja untuk badan intelijen China, menghabiskan "delapan bulan alias lebih" di prasarana operator seluler AS, mungkin telah meraup info ribuan orang nan menjadi target.

Jurnal tersebut mengonfirmasi laporan sebelumnya bahwa para peretas membatasi sasaran mereka pada sejumlah tokoh politik dan keamanan nasional terpilih nan berbobot tinggi.

Namun, para peretas, nan dilaporkan mengeksploitasi router nan digunakan oleh perusahaan telekomunikasi, mempunyai keahlian untuk mengakses info telepon nyaris semua orang Amerika nan menjadi pengguna operator nan diretas golongan itu.

Operator seluler nan diduga terdampak adalah AT&T dan Verizon. Namun sayangnya, kedua perusahaan itu menolak untuk berkomentar.

Sebelumnya, Microsoft memperingatkan bahwa hacker China menggunakan botnet Quad7, nan disusupi dari router small office/home office (SOHO) nan diretas, untuk mencuri kredensial dalam serangan password-spray.

Router SOHO biasanya menjadi pilihan utama bagi upaya mini menengah (UKM) nan memerlukan hubungan internet stabil.

Quad7, juga dikenal sebagai CovertNetwork-1658 alias xlogin, adalah botnet nan pertama kali ditemukan oleh peneliti keamanan Gi7w0rm (terdiri dari router SOHO nan disusupi).

Laporan selanjutnya oleh Sekoia dan Team Cymru melaporkan bahwa hacker China menargetkan router dan perangkat jaringan dari TP-Link, ASUS, perangkat nirkabel Ruckus, perangkat NAS Axentra, dan peralatan VPN Zyxel.

Ketika perangkat disusupi, hacker menyebarkan malware unik nan memungkinkan akses jarak jauh ke perangkat melalui Telnet, nan menampilkan 'banner selamat datang unik' berasas perangkat nan disusupi.

Selain router nan terinstal, pelaku ancaman juga memasang server proxy SOCKS5 untuk melakukan serangan rawan sembari berbaur dengan tfaffic nan sah untuk menghindari penemuan keamanan.

Meskipun botnet tersebut belum dikaitkan dengan tokoh ancaman tertentu, Team Cymru melacak perangkat lunak proksi nan digunakan pada router tersebut ke pengguna nan tinggal di Hangzhou, China.

Microsoft mengungkapkan bahwa botnet Quad7 diyakini beraksi dari China, dengan beberapa pelaku ancaman Hacker memanfaatkan router nan disusupi untuk mencuri kredensial melalui serangan password spray.

"Microsoft menilai bahwa kredensial nan diperoleh dari operasi password spray CovertNetwork-1658 digunakan oleh beberapa pelaku ancaman China," kata Microsoft dalam laporan baru.

"Secara khusus, Microsoft telah mengawasi pelaku ancaman Tiongkok Storm-0940 menggunakan kredensial dari CovertNetwork-1658," perusahaan melanjutkan.

Saat melakukan serangan password spray, Microsoft mengatakan pelaku ancaman tidak agresif, hanya mencoba masuk beberapa kali per akun, kemungkinan untuk menghindari peringatan sistem keamanan.

"Dalam kampanye ini, CovertNetwork-1658 mengirimkan sejumlah mini upaya masuk ke banyak akun di organisasi target," ungkap Microsoft.

"Dalam sekitar 80 persen kasus, CovertNetwork-1658 hanya melakukan satu upaya masuk per akun per hari," sambungnya.

Setelah kredensial dicuri, Microsoft telah mengawasi Storm-0940 memanfaatkannya untuk membobol jaringan nan menjadi target, terkadang pada hari nan sama saat kredensial dicuri.

Setelah jaringan dibobol, pelaku ancaman menyebar lebih jauh melalui jaringan dengan membuang kredensial dan memasang RAT dan perangkat proksi untuk persistensi pada jaringan.

Tujuan akhir dari serangan ini adalah untuk mengekstrak info dari jaringan nan menjadi target, kemungkinan untuk tujuan spionase siber.

Hingga saat ini, para peneliti belum menentukan secara tepat gimana pelaku ancaman Quad7 membahayakan router SOHO dan perangkat jaringan lainnya.

Namun, Sekoia mengawasi salah satu honeypot mereka dibobol oleh pelaku ancaman Quad7 nan memanfaatkan zero-day OpenWRT.

"Kami menunggu kurang dari seminggu sebelum mengawasi serangan krusial nan merantai pengungkapan file nan tidak diautentikasi nan tampaknya tidak berkarakter publik saat ini (menurut pencarian Google) dan injeksi perintah," jelas Sekoia pada bulan Juli.

Bagaimana pelaku ancaman membobol perangkat lain tetap menjadi misteri.