Badan-badan keamanan siber dan intelijen AS telah memperingatkan tentang aktor siber yang disponsori negara yang berbasis di China yang memanfaatkan kerentanan jaringan untuk mengeksploitasi organisasi sektor publik dan swasta setidaknya sejak 2020.
Kampanye intrusi yang tersebar luas bertujuan untuk mengeksploitasi kelemahan keamanan yang diidentifikasi secara publik di perangkat jaringan seperti router Small Office/Home Office (SOHO) dan perangkat Network Attached Storage (NAS) dengan tujuan mendapatkan akses yang lebih dalam ke jaringan korban.
Selain itu, para pelaku menggunakan perangkat yang disusupi ini sebagai lalu lintas perintah-dan-kontrol (C2) rute untuk membobol target lain dalam skala besar, Badan Keamanan Nasional AS (NSA), Badan Keamanan Siber dan Infrastruktur (CISA), dan Badan Keamanan Federal AS (NSA). Biro Investigasi (FBI) mengatakan dalam nasihat bersama.
Para pelaku, selain mengubah taktik mereka dalam menanggapi pengungkapan publik, diketahui menggunakan campuran open-source dan alat kustom untuk pengintaian dan pemindaian kerentanan serta untuk mengaburkan dan memadukan aktivitas mereka.
Serangan itu sendiri difasilitasi dengan mengakses server yang disusupi, yang oleh agensi disebut hop point, dari alamat IP yang berbasis di China, menggunakannya untuk meng-host domain C2, akun email, dan berkomunikasi dengan jaringan target.
“Aktor dunia maya menggunakan titik hop ini sebagai teknik penyamaran ketika berinteraksi dengan jaringan korban,” catat agensi, merinci pola kelemahan persenjataan musuh dalam organisasi telekomunikasi dan penyedia layanan jaringan.
Setelah mendapatkan pijakan ke dalam jaringan melalui aset yang menghadap ke internet yang belum ditambal, para aktor telah diamati memperoleh kredensial untuk akun pengguna dan administratif, diikuti dengan menjalankan perintah router untuk “secara diam-diam merutekan, menangkap, dan mengeluarkan lalu lintas keluar dari jaringan ke aktor- infrastruktur yang terkendali.”
Last but not least, penyerang juga memodifikasi atau menghapus file log lokal untuk menghapus bukti aktivitas mereka untuk lebih menyembunyikan keberadaan mereka dan menghindari deteksi.
Badan-badan tersebut tidak memilih aktor ancaman tertentu, tetapi mencatat bahwa temuan tersebut mencerminkan sejarah kelompok yang disponsori negara China yang menyerang infrastruktur kritis secara agresif untuk mencuri data sensitif, teknologi kunci yang muncul, kekayaan intelektual, dan informasi pengenal pribadi.
Pengungkapan juga tiba kurang dari sebulan setelah otoritas keamanan siber mengungkapkan vektor akses awal yang paling rutin dieksploitasi untuk melanggar target, beberapa di antaranya termasuk server yang salah konfigurasi, kontrol kata sandi yang lemah, perangkat lunak yang belum ditambal, dan kegagalan untuk memblokir upaya phishing.
“Entitas dapat mengurangi kerentanan yang tercantum dalam penasihat ini dengan menerapkan patch yang tersedia ke sistem mereka, mengganti infrastruktur akhir masa pakai, dan menerapkan program manajemen patch terpusat,” kata agensi.