Dari risiko-risiko keamanan siber yang dihadapi Amerika Serikat saat ini, hanya ada sedikit risiko yang lebih besar daripada potensi kemampuan sabotase yang ditimbulkan oleh para peretas yang didukung Tiongkok, yang oleh para pejabat tinggi AS digambarkan sebagai “ancaman yang menentukan zaman.”
Dalam beberapa bulan terakhir, para pejabat intelijen AS mengatakan para peretas yang didukung pemerintah Tiongkok telah menyusup jauh ke dalam jaringan infrastruktur penting AS, termasuk penyedia air, energi, dan transportasi. Tujuannya, kata para pejabat, adalah untuk meletakkan dasar bagi potensi serangan siber yang merusak jika terjadi konflik di masa depan antara Tiongkok dan Amerika Serikat, seperti kemungkinan invasi Tiongkok ke Taiwan.
“Peretas Tiongkok mengambil posisi di infrastruktur Amerika sebagai persiapan untuk mendatangkan malapetaka dan menimbulkan kerugian nyata bagi warga dan komunitas Amerika, jika atau ketika Tiongkok memutuskan waktunya telah tiba untuk menyerang,” Direktur FBI Christopher Wray mengatakan kepada anggota parlemen awal tahun ini.
Pemerintah AS dan sekutunya telah mengambil tindakan terhadap keluarga “Typhoon” dari kelompok peretas Tiongkok, dan menerbitkan rincian baru tentang ancaman yang mereka timbulkan.
Pada bulan Januari, AS mengganggu kelompok peretas pemerintah Tiongkok yang diberi nama “Volt Typhoon” yang bertugas menyiapkan panggung untuk serangan siber yang merusak. Kemudian pada bulan September, FBI membajak botnet yang dijalankan oleh kelompok peretas Tiongkok lainnya yang disebut “Flax Typhoon,” yang menyamar sebagai perusahaan swasta di Beijing dan berperan membantu menyembunyikan aktivitas peretas pemerintah Tiongkok. Sejak itu, kelompok peretas baru yang didukung Tiongkok bernama “Salt Typhoon” muncul, yang mampu mengumpulkan informasi intelijen tentang warga Amerika – dan target potensial pengawasan AS – dengan menyusupi sistem penyadapan telepon dan penyedia internet AS.
Inilah yang kami ketahui sejauh ini tentang kelompok peretas Tiongkok yang bersiap berperang.
Topan Volt
Volt Typhoon mewakili generasi baru kelompok peretas yang didukung Tiongkok; tidak lagi hanya bertujuan untuk mencuri rahasia sensitif AS, melainkan bersiap untuk mengganggu “kemampuan mobilisasi” militer AS, menurut direktur FBI.
Microsoft pertama kali mengidentifikasi Volt Typhoon pada Mei 2023, dan menemukan bahwa para peretas telah menargetkan dan menyusupi peralatan jaringan, seperti router, firewall, dan VPN, sejak pertengahan tahun 2021 sebagai bagian dari upaya berkelanjutan dan terpadu untuk menyusup lebih dalam ke infrastruktur penting AS. Pada kenyataannya, kemungkinan besar para peretas telah beroperasi lebih lama; berpotensi selama lima tahun.
Volt Typhoon menyusupi ribuan perangkat yang terhubung ke internet dalam beberapa bulan setelah laporan Microsoft, mengeksploitasi kerentanan pada perangkat yang terhubung ke internet yang dianggap “sudah habis masa pakainya” dan dengan demikian tidak lagi menerima pembaruan keamanan. Dengan demikian, kelompok peretas tersebut kemudian berhasil menyusupi lingkungan TI di berbagai sektor infrastruktur penting, termasuk penerbangan, air, energi, dan transportasi, dan mempersiapkan diri untuk mengaktifkan serangan siber yang berpotensi mengganggu di masa depan.
“Aktor ini tidak melakukan pengumpulan intelijen secara diam-diam dan pencurian rahasia yang telah menjadi norma di AS. Mereka menyelidiki infrastruktur penting yang sensitif sehingga dapat mengganggu layanan utama jika, dan ketika, perintah tersebut dicabut,” kata John Hultquist, kepala analis di perusahaan keamanan Mandiant.
Pemerintah AS mengatakan pada bulan Januari bahwa mereka telah berhasil mengganggu botnet, yang digunakan oleh Volt Typhoon, yang terdiri dari ribuan router kantor kecil dan jaringan rumah berbasis di AS yang dibajak, yang digunakan oleh kelompok peretas Tiongkok untuk menyembunyikan aktivitas jahatnya yang bertujuan menargetkan perangkat kritis AS. infrastruktur. FBI mengatakan pihaknya mampu menghapus malware dari router yang dibajak, sehingga memutuskan koneksi kelompok peretas Tiongkok ke botnet.
Topan Rami
Flax Typhoon, yang pertama kali terungkap dalam laporan Microsoft pada Agustus 2023, adalah kelompok peretas lain yang didukung Tiongkok dan menurut para pejabat beroperasi dengan menyamar sebagai perusahaan keamanan siber publik yang berbasis di Beijing. Perusahaan tersebut, Integrity Technology Group, telah secara terbuka mengakui hubungannya dengan pemerintah Tiongkok, menurut pejabat AS.
Pada bulan September, pemerintah AS mengatakan mereka telah mengambil alih botnet lain, yang digunakan oleh Flax Typhoon, yang memanfaatkan varian khusus dari malware Mirai yang terkenal, yang terdiri dari ratusan ribu perangkat yang terhubung ke internet.
Para pejabat AS mengatakan pada saat itu bahwa botnet yang dikendalikan oleh Flax Typhoon digunakan untuk “melakukan aktivitas siber berbahaya yang menyamar sebagai lalu lintas internet rutin dari perangkat konsumen yang terinfeksi.” Jaksa mengatakan botnet yang dijalankan oleh Flax Typhoon memungkinkan peretas lain yang didukung pemerintah Tiongkok untuk “meretas jaringan di AS dan di seluruh dunia untuk mencuri informasi dan membahayakan infrastruktur kami.”
Menurut profil Microsoft dari kelompok yang didukung pemerintah, Flax Typhoon telah aktif sejak pertengahan tahun 2021, terutama menargetkan “lembaga pemerintah dan pendidikan, manufaktur penting, dan organisasi teknologi informasi di Taiwan.” Departemen Kehakiman mengatakan pihaknya menguatkan temuan Microsoft dan bahwa Flax Typhoon juga “menyerang banyak perusahaan AS dan asing.”
Topan Garam
Kelompok terbaru – dan mungkin paling tidak menyenangkan – dalam pasukan siber yang didukung pemerintah Tiongkok yang terungkap dalam beberapa bulan terakhir adalah Salt Typhoon.
Topan Garam menjadi berita utama pada bulan Oktober karena operasinya yang jauh lebih canggih. Seperti yang pertama kali dilaporkan oleh Wall Street Journal, kelompok peretas yang terkait dengan Tiongkok diyakini telah menyusupi sistem penyadapan telepon beberapa penyedia telekomunikasi dan internet AS, termasuk AT&T, Lumen (sebelumnya CenturyLink), dan Verizon.
Menurut sebuah laporan, Salt Typhoon mungkin telah memperoleh akses ke organisasi-organisasi ini menggunakan router Cisco yang telah disusupi. Pemerintah AS dikatakan sedang dalam tahap awal penyelidikan.
Meskipun skala pelanggaran yang dilakukan penyedia internet masih belum diketahui, Journal, yang mengutip sumber keamanan nasional, mengatakan pelanggaran tersebut bisa “berpotensi menimbulkan bencana.” Dengan meretas sistem yang digunakan lembaga penegak hukum untuk pengumpulan data pelanggan yang diizinkan pengadilan, Salt Typhoon berpotensi memperoleh akses ke data dan sistem yang menampung sebagian besar permintaan pemerintah AS – termasuk potensi identitas target pengawasan AS di Tiongkok.
Belum diketahui kapan pelanggaran tersebut terjadi, namun WSJ melaporkan bahwa para peretas mungkin telah memiliki akses ke sistem penyadapan telepon penyedia internet tersebut “selama berbulan-bulan atau lebih.”