
Kantor Pengawasan Aset Luar Negeri (OFAC) Departemen Keuangan AS telah menjatuhkan sanksi terhadap perusahaan keamanan siber Tiongkok dan aktor siber yang berbasis di Shanghai atas dugaan hubungan mereka dengan kelompok Salt Typhoon dan kompromi baru-baru ini dengan badan federal tersebut.
“Pelaku siber jahat yang terkait dengan Republik Rakyat Tiongkok (RRT) terus menargetkan sistem pemerintahan AS, termasuk yang baru-baru ini menargetkan sistem teknologi informasi (TI) Departemen Keuangan, serta infrastruktur penting AS yang sensitif,” kata Departemen Keuangan dalam siaran persnya.
Sanksi tersebut menyasar Yin Kecheng, yang dinilai telah menjadi aktor siber selama lebih dari satu dekade dan berafiliasi dengan Kementerian Keamanan Negara (MSS) Tiongkok. Kecheng, menurut Departemen Keuangan, dikaitkan dengan pelanggaran jaringannya sendiri yang terungkap awal bulan ini.
Insiden tersebut melibatkan peretasan sistem BeyondTrust yang memungkinkan pelaku ancaman menyusup ke beberapa instance SaaS Dukungan Jarak Jauh perusahaan dengan menggunakan kunci API SaaS Dukungan Jarak Jauh yang telah disusupi. Aktivitas tersebut telah dikaitkan dengan kelompok negara-bangsa bernama Silk Typhoon (sebelumnya Hafnium), yang dikaitkan dengan eksploitasi berbagai kelemahan keamanan (alias ProxyLogon) di Microsoft Exchange Server pada awal tahun 2021.

Menurut laporan baru-baru ini dari Bloomberg, para penyerang dikatakan telah membobol tidak kurang dari 400 komputer milik Departemen Keuangan dan mencuri lebih dari 3.000 file, termasuk dokumen kebijakan dan perjalanan, bagan organisasi, materi tentang sanksi dan investasi asing, dan 'Hukum Data Sensitif Penegakan.
Mereka juga mendapatkan akses tidak sah ke komputer yang digunakan oleh Menteri Janet Yellen, Wakil Menteri Adewale Adeyemo, dan Penjabat Wakil Menteri Bradley T. Smith, serta materi investigasi yang dijalankan oleh Komite Penanaman Modal Asing di AS, tambah laporan itu.
Silk Typhoon diyakini tumpang tindih dengan klaster yang dilacak oleh Mandiant milik Google dengan nama UNC5221, aktor spionase China-nexus yang dikenal karena mempersenjatai kerentanan zero-day Ivanti secara ekstensif. The Hacker News telah menghubungi Mandiant untuk memberikan komentar lebih lanjut, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.
Sanksi tersebut juga menargetkan Sichuan Juxinhe Network Technology Co., LTD., sebuah perusahaan keamanan siber yang berbasis di Sichuan yang menurut Departemen Keuangan terlibat langsung dalam serangkaian serangan siber yang ditujukan terhadap perusahaan-perusahaan penyedia layanan telekomunikasi dan internet besar AS di negara tersebut.
Aktivitas tersebut telah dikaitkan dengan kelompok peretas Tiongkok yang berbeda bernama Salt Typhoon (alias Earth Estries, FamousSparrow, GhostEmperor, dan UNC2286). Pelaku ancaman diperkirakan aktif setidaknya sejak tahun 2019.
“MSS telah memelihara hubungan yang kuat dengan beberapa perusahaan eksploitasi jaringan komputer, termasuk Sichuan Juxinhe,” kata Departemen Keuangan.
Secara terpisah, program Penghargaan untuk Keadilan Departemen Luar Negeri menawarkan hadiah hingga $10 juta untuk informasi yang dapat mengarah pada identifikasi atau lokasi individu yang bertindak atas arahan atau di bawah kendali musuh yang disponsori negara dan terlibat dalam aktivitas dunia maya yang berbahaya terhadap infrastruktur penting AS yang melanggar Undang-Undang Penipuan dan Penyalahgunaan Komputer.
“Departemen Keuangan akan terus menggunakan kewenangannya untuk meminta pertanggungjawaban pelaku siber jahat yang menargetkan rakyat Amerika, perusahaan kami, dan pemerintah Amerika Serikat, termasuk mereka yang secara khusus menargetkan Departemen Keuangan,” kata Adeyemo dalam sebuah pernyataan.
Serangan terhadap penyedia layanan telekomunikasi AS telah mendorong Komisi Komunikasi Federal (FCC) mengeluarkan peraturan baru yang mewajibkan perusahaan yang beroperasi di sektor ini untuk mengamankan jaringan mereka dari akses yang melanggar hukum atau intersepsi komunikasi. Ketua FCC Jessica Rosenworcel menggambarkan peretasan tersebut sebagai “salah satu kompromi intelijen terbesar yang pernah ada.”
“Tindakan tersebut disertai dengan proposal yang mewajibkan penyedia layanan komunikasi untuk menyerahkan sertifikasi tahunan kepada FCC yang membuktikan bahwa mereka telah membuat, memperbarui, dan menerapkan rencana manajemen risiko keamanan siber, yang akan memperkuat komunikasi dari serangan siber di masa depan,” kata FCC. .

Awal pekan ini, Jen Easterly, direktur Badan Keamanan Siber dan Infrastruktur (CISA), mengatakan “Program siber Tiongkok yang canggih dan memiliki sumber daya yang baik merupakan ancaman siber yang paling serius dan signifikan terhadap negara kita, dan khususnya, infrastruktur penting AS.”
Easterly juga mengungkapkan bahwa Salt Typhoon pertama kali terdeteksi di jaringan federal, jauh sebelum kelompok spionase dunia maya masuk ke jaringan AT&T, Lumen Technologies, T-Mobile, Verizon, dan penyedia lainnya.
Penunjukan tersebut hanyalah langkah terbaru dari daftar panjang langkah yang dilakukan Departemen Keuangan dalam upaya memerangi aktivitas siber berbahaya yang dilakukan oleh pelaku ancaman Tiongkok. Sebelumnya terkena sanksi oleh badan tersebut adalah tiga perusahaan lainnya, Integrity Technology Group (Flax Typhoon), Sichuan Silence Information Technology (Pacific Rim), dan Perusahaan Sains dan Teknologi Xiaoruizhi Wuhan (APT31).