Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Senin mengatakan tidak ada indikasi bahwa serangan siber yang menargetkan Departemen Keuangan berdampak pada lembaga federal lainnya.
Badan tersebut mengatakan pihaknya bekerja sama dengan Departemen Keuangan dan BeyondTrust untuk mendapatkan pemahaman yang lebih baik tentang pelanggaran tersebut dan mengurangi dampaknya.
“Keamanan sistem federal dan data yang dilindunginya sangat penting bagi keamanan nasional kita,” kata CISA. “Kami bekerja secara agresif untuk menjaga terhadap dampak lebih lanjut dan akan memberikan informasi terkini, jika diperlukan.”
Pernyataan terbaru ini muncul seminggu setelah Departemen Keuangan mengatakan bahwa mereka adalah korban dari “insiden keamanan siber besar” yang memungkinkan pelaku ancaman yang disponsori negara Tiongkok mengakses beberapa komputer dan dokumen yang tidak rahasia dari jarak jauh.
Serangan siber, yang terungkap pada awal Desember 2024, melibatkan pelanggaran sistem BeyondTrust yang memungkinkan musuh menyusup ke beberapa instance SaaS Dukungan Jarak Jauh perusahaan dengan menggunakan kunci API SaaS Dukungan Jarak Jauh yang telah disusupi.
Dalam pernyataan yang diperbarui pada 6 Januari 2025, BeyondTrust mengatakan “tidak ada pelanggan baru yang teridentifikasi selain pelanggan yang telah kami komunikasikan sebelumnya.” Tiongkok membantah tuduhan bahwa mereka melanggar Departemen Keuangan AS.
Data yang dibagikan oleh perusahaan manajemen permukaan serangan Censys menunjukkan bahwa sebanyak 13.548 instance BeyondTrust Remote Support dan Privileged Remote Access yang terekspos telah diamati secara online pada 6 Januari.
Pekan lalu, Kantor Pengendalian Aset Luar Negeri (OFAC) Departemen Keuangan mengumumkan sanksi terhadap perusahaan keamanan siber Tiongkok, Integrity Technology Group, Incorporated, yang menuduh perusahaan tersebut memberikan dukungan infrastruktur kepada kelompok peretas lain bernama Flax Typhoon sebagai bagian dari kampanye jangka panjang melawan Infrastruktur penting AS.
Ketika ditanya mengenai sanksi tersebut, juru bicara Kementerian Luar Negeri Tiongkok, Guo Jiakun, mengatakan pihaknya telah menyatakan pendiriannya dengan jelas lebih dari satu kali dan bahwa “Tiongkok selama ini dengan tegas menentang peretasan dan melawannya sesuai dengan hukum.”
“Kami mendesak AS untuk berhenti menggunakan isu keamanan siber untuk menjelek-jelekkan dan mencoreng nama Tiongkok,” kata Jiakun. “Selama beberapa waktu, AS telah mengumandangkan apa yang disebut 'peretasan Tiongkok' dan bahkan menggunakannya untuk menjatuhkan sanksi ilegal dan sepihak terhadap Tiongkok. Tiongkok dengan tegas menolak hal ini dan akan melakukan apa yang diperlukan untuk melindungi hak dan kepentingan kami yang sah.”
Integrity Technology Group, dalam sebuah pernyataan kepada Bursa Efek Shanghai, menentang sanksi terhadap perusahaan tersebut, dan menambahkan bahwa tuduhan tersebut “tidak memiliki dasar faktual”.
Serangan terhadap Departemen Keuangan adalah yang terbaru dari gelombang intrusi yang dilakukan oleh aktor ancaman Tiongkok seperti Volt Typhoon dan Salt Typhoon yang masing-masing menargetkan infrastruktur penting dan jaringan telekomunikasi AS.
The Wall Street Journal mengungkapkan pada akhir pekan bahwa di antara sembilan perusahaan telekomunikasi yang dilanggar oleh Salt Typhoon adalah Charter Communications, Consolidated Communications, dan Windstream. Beberapa entitas lain yang diidentifikasi sebelumnya termasuk AT&T, T-Mobile, Verizon, dan Lumen Technologies.
Dalam laporan baru yang diterbitkan hari ini, Bloomberg mengatakan kelompok ancaman yang disponsori negara Tiongkok yang dijuluki APT41 menembus cabang eksekutif pemerintah Filipina dan menyedot data sensitif terkait sengketa Laut Cina Selatan sebagai bagian dari kampanye selama bertahun-tahun dari awal tahun 2023 hingga Juni 2024. .
Tiongkok Meningkatkan Serangan Siber terhadap Taiwan
Perkembangan ini juga mengikuti laporan dari Biro Keamanan Nasional Taiwan (NSB), yang memperingatkan meningkatnya kecanggihan serangan dunia maya yang diatur oleh Tiongkok terhadap negara tersebut. Sebanyak 906 kasus insiden siber telah dilaporkan terhadap entitas pemerintah dan sektor swasta pada tahun 2024, naik dari 752 kasus pada tahun 2023.
Modus operandinya biasanya mencakup eksploitasi kerentanan pada perangkat Netcom dan memanfaatkan teknik living-off-the-land (LotL) untuk membangun pijakan, menghindari deteksi, dan menyebarkan malware untuk serangan lanjutan dan pencurian data. Rantai serangan alternatif melibatkan pengiriman email spear-phishing ke pegawai negeri Taiwan.
Serangan Tiongkok lainnya yang banyak diamati terhadap sasaran Taiwan tercantum di bawah ini –
- Serangan penolakan layanan terdistribusi (DDoS) terhadap sektor transportasi dan keuangan bersamaan dengan latihan militer oleh Tentara Pembebasan Rakyat (PLA)
- Serangan Ransomware pada sektor manufaktur
- Menargetkan startup berteknologi tinggi untuk mencuri teknologi yang dipatenkan
- Pencurian data pribadi warga negara Taiwan untuk dijual di forum kejahatan dunia maya bawah tanah.
- Kritik terhadap kemampuan keamanan siber Taiwan di platform media sosial mengikis kepercayaan terhadap pemerintah
“Serangan di bidang komunikasi, terutama industri telekomunikasi, telah tumbuh sebesar 650%, dan serangan di bidang transportasi dan rantai pasokan pertahanan masing-masing tumbuh sebesar 70% dan 57%,” kata NSB.
“Dengan menerapkan beragam teknik peretasan, Tiongkok telah melakukan pengintaian, melakukan serangan siber, dan mencuri data melalui operasi peretasan yang menargetkan pemerintah Taiwan, infrastruktur penting, dan perusahaan swasta utama.”
NSB juga mengecam Tiongkok karena melakukan operasi pengaruh terhadap Taiwan, melakukan kampanye disinformasi yang berupaya melemahkan kepercayaan publik terhadap pemerintah dan meningkatkan perpecahan sosial melalui platform media sosial seperti Facebook dan X.
Salah satu taktik yang paling menonjol adalah penggunaan akun tidak autentik secara ekstensif untuk membanjiri kolom komentar di platform media sosial yang digunakan oleh masyarakat Taiwan untuk menyebarkan video dan gambar meme yang dimanipulasi. Aktivitas dunia maya yang berbahaya juga diketahui membajak akun media sosial pengguna Taiwan untuk menyebarkan disinformasi.
“Tiongkok telah menggunakan teknologi deepfake untuk membuat klip video pidato tokoh politik Taiwan, berupaya menyesatkan persepsi dan pemahaman masyarakat Taiwan,” kata NSB.
“Secara khusus, Tiongkok secara aktif membangun merek media konvergensi atau akun proksi di platform seperti Weibo, TikTok, dan Instagram, berupaya menyebarkan konten media resmi dan propaganda yang berfokus pada Taiwan.”
