Biro Investigasi Federal (FBI) AS telah meminta bantuan masyarakat sehubungan dengan penyelidikan yang melibatkan pelanggaran perangkat edge dan jaringan komputer milik perusahaan dan entitas pemerintah.
“Kelompok Ancaman Persisten Tingkat Lanjut diduga membuat dan menyebarkan malware (CVE-2020-12271) sebagai bagian dari serangkaian intrusi komputer sembarangan yang dirancang untuk mengekstrak data sensitif dari firewall di seluruh dunia,” kata badan tersebut.
“FBI sedang mencari informasi mengenai identitas individu yang bertanggung jawab atas intrusi dunia maya ini.”
Perkembangan ini terjadi setelah serangkaian laporan yang diterbitkan oleh vendor keamanan siber Sophos yang mencatat serangkaian kampanye antara tahun 2018 dan 2023 yang mengeksploitasi peralatan infrastruktur canggihnya untuk menyebarkan malware khusus atau menggunakannya kembali sebagai proxy untuk menghindari deteksi.
Aktivitas jahat tersebut, dengan nama sandi Lingkar Pasifik dan dirancang untuk melakukan pengawasan, sabotase, dan spionase dunia maya, telah dikaitkan dengan beberapa kelompok yang disponsori negara Tiongkok, termasuk APT31, APT41, dan Volt Typhoon. Serangan paling awal terjadi pada akhir tahun 2018, ketika serangan siber ditujukan ke anak perusahaan Sophos di India, Cyberoam.
“Musuh telah menargetkan infrastruktur penting dan fasilitas pemerintah kecil dan besar, terutama di Asia Selatan dan Tenggara, termasuk pemasok energi nuklir, bandara ibu kota negara, rumah sakit militer, aparat keamanan negara, dan kementerian pemerintah pusat,” kata Sophos.
Beberapa serangan massal berikutnya telah diidentifikasi memanfaatkan beberapa kerentanan zero-day di firewall Sophos – CVE-2020-12271, CVE-2020-15069, CVE-2020-29574, CVE-2022-1040, dan CVE-2022- 3236 – untuk menyusupi perangkat dan mengirimkan muatan ke firmware perangkat dan yang terletak di dalam jaringan LAN organisasi.
“Sejak tahun 2021 dan seterusnya, musuh-musuh tampaknya mengalihkan fokus dari serangan yang meluas tanpa pandang bulu ke serangan yang sangat bertarget, serangan dengan fokus sempit 'langsung di papan ketik' terhadap entitas tertentu: lembaga pemerintah, infrastruktur penting, organisasi penelitian dan pengembangan, penyedia layanan kesehatan, ritel, keuangan , militer, dan organisasi sektor publik terutama di kawasan Asia-Pasifik,” katanya.
Mulai pertengahan tahun 2022, para penyerang dikatakan telah memfokuskan upaya mereka untuk mendapatkan akses yang lebih dalam ke organisasi tertentu, menghindari deteksi, dan mengumpulkan lebih banyak informasi dengan menjalankan perintah secara manual dan menyebarkan malware seperti Asnarök, Gh0st RAT, dan Pygmy Goat, sebuah kabel pintu belakang yang canggih. menyediakan akses jarak jauh yang persisten ke Sophos XG Firewall dan kemungkinan perangkat Linux lainnya.
“Meskipun tidak mengandung teknik baru, Pygmy Goat cukup canggih dalam hal memungkinkan aktor untuk berinteraksi dengannya sesuai permintaan, sambil menyatu dengan lalu lintas jaringan normal,” kata Pusat Keamanan Siber Nasional (NCSC) Inggris.
“Kodenya sendiri bersih, dengan fungsi pendek dan terstruktur dengan baik yang membantu perluasan di masa depan, dan kesalahan diperiksa secara keseluruhan, menunjukkan bahwa kode tersebut ditulis oleh pengembang atau pengembang yang kompeten.”
Pintu belakang, sebuah rootkit baru yang berbentuk objek bersama (“libsophos.so”), ditemukan dikirimkan setelah eksploitasi CVE-2022-1040. Penggunaan rootkit diamati antara bulan Maret dan April 2022 pada perangkat pemerintah dan mitra teknologi, dan sekali lagi pada bulan Mei 2022 pada mesin di rumah sakit militer yang berbasis di Asia.
Hal ini telah dikaitkan sebagai hasil karya aktor ancaman Tiongkok yang dilacak secara internal oleh Sophos sebagai Tstark, yang memiliki hubungan dengan Universitas Sains dan Teknologi Elektronik Tiongkok (UESTC) di Chengdu.
Ia hadir dengan “kemampuan untuk mendengarkan dan merespons paket ICMP yang dibuat khusus, yang jika diterima oleh perangkat yang terinfeksi, akan membuka proxy SOCKS atau koneksi balik shell terbalik ke alamat IP yang dipilih penyerang.”
Sophos mengatakan pihaknya melawan kampanye tersebut pada tahap awal dengan menerapkan implan kernel yang dibuat khusus pada perangkat milik pelaku ancaman Tiongkok untuk melakukan penelitian eksploitasi berbahaya, termasuk mesin yang dimiliki oleh Institut Penelitian Double Helix milik Sichuan Silence Information Technology, sehingga mendapatkan visibilitas ke dalam sistem. sebuah “eksploitasi eksekusi kode jarak jauh yang sebelumnya tidak dikenal dan tersembunyi” pada Juli 2020.
Analisis lanjutan pada Agustus 2020 menghasilkan penemuan kerentanan eksekusi kode jarak jauh pasca-otentikasi dengan tingkat keparahan lebih rendah pada komponen sistem operasi, tambah perusahaan tersebut.
Lebih jauh lagi, perusahaan milik Thoma Bravo mengatakan mereka telah mengamati pola penerimaan laporan bug bounty yang “secara bersamaan sangat membantu namun mencurigakan” setidaknya dua kali (CVE-2020-12271 dan CVE-2022-1040) dari orang yang dicurigai sebagai individu yang memiliki ikatan. ke lembaga penelitian yang berbasis di Chengdu sebelum digunakan secara jahat.
Temuan-temuan ini penting, salah satunya karena menunjukkan bahwa penelitian kerentanan aktif dan aktivitas pengembangan sedang dilakukan di wilayah Sichuan, dan kemudian diteruskan ke berbagai kelompok garis depan yang disponsori negara Tiongkok dengan tujuan, kemampuan, dan teknik pasca eksploitasi yang berbeda-beda.
“Dengan Lingkar Pasifik kami mengamati […] sebuah jalur perakitan pengembangan eksploitasi zero-day yang terkait dengan lembaga-lembaga pendidikan di Sichuan, Tiongkok,” kata Chester Wisniewski. “Eksploitasi ini tampaknya telah dibagikan kepada penyerang yang disponsori negara, yang masuk akal bagi negara-bangsa yang mengamanatkan pembagian tersebut melalui undang-undang pengungkapan kerentanan mereka.”
Meningkatnya penargetan perangkat jaringan edge juga bertepatan dengan penilaian ancaman dari Pusat Keamanan Siber Kanada (Cyber Center) yang mengungkapkan setidaknya 20 jaringan pemerintah Kanada telah disusupi oleh kru peretasan yang disponsori negara Tiongkok selama empat tahun terakhir untuk memajukan sistem mereka. kepentingan strategis, ekonomi, dan diplomatik.
Mereka juga menuduh aktor-aktor ancaman Tiongkok menargetkan sektor swasta untuk mendapatkan keunggulan kompetitif dengan mengumpulkan informasi rahasia dan hak milik, serta mendukung misi “penindasan transnasional” yang berupaya menargetkan warga Uighur, Tibet, aktivis pro-demokrasi, dan pendukung kemerdekaan Taiwan.
Pelaku ancaman dunia maya Tiongkok “telah mengkompromikan dan mempertahankan akses ke berbagai jaringan pemerintah selama lima tahun terakhir, mengumpulkan komunikasi dan informasi berharga lainnya,” katanya. “Pelaku ancaman mengirim pesan email dengan gambar pelacakan ke penerima untuk melakukan pengintaian jaringan.”