Raksasa telekomunikasi AS T-Mobile telah mengonfirmasi bahwa mereka juga termasuk di antara perusahaan yang menjadi sasaran pelaku ancaman Tiongkok untuk mendapatkan akses ke informasi berharga.
Musuh-musuh tersebut, yang dilacak sebagai Salt Typhoon, membobol perusahaan tersebut sebagai bagian dari “kampanye berbulan-bulan” yang dirancang untuk mengumpulkan komunikasi ponsel dari “target intelijen bernilai tinggi”. Tidak jelas informasi apa yang diambil, jika ada, selama aktivitas jahat tersebut.
“T-Mobile memantau dengan cermat serangan di seluruh industri ini, dan saat ini, sistem dan data T-Mobile belum terkena dampak signifikan apa pun, dan kami tidak memiliki bukti dampaknya terhadap informasi pelanggan,” kata juru bicara perusahaan. seperti dikutip The Wall Street Journal. “Kami akan terus memantau hal ini dengan cermat, bekerja sama dengan rekan-rekan industri dan otoritas terkait.”
Dengan perkembangan terkini, T-Mobile telah bergabung dengan daftar organisasi besar seperti AT&T, Verizon, dan Lumen Technologies yang telah dipilih sebagai bagian dari kampanye spionase dunia maya besar-besaran.
Sejauh ini, laporan-laporan tersebut tidak menyebutkan sejauh mana keberhasilan serangan-serangan ini, apakah ada jenis malware yang dipasang, atau jenis informasi apa yang mereka cari. Akses tidak sah Salt Typhoon ke catatan data seluler Amerika sebelumnya diungkapkan oleh Politico.
Pekan lalu, pemerintah AS mengatakan penyelidikan yang sedang dilakukan terhadap penargetan infrastruktur telekomunikasi komersial mengungkap peretasan yang “luas dan signifikan” yang diatur oleh Republik Rakyat Tiongkok (RRT).
“Pelaku yang berafiliasi dengan RRT telah menyusupi jaringan di beberapa perusahaan telekomunikasi untuk memungkinkan pencurian data catatan panggilan pelanggan, penyusupan komunikasi pribadi sejumlah individu yang terutama terlibat dalam aktivitas pemerintahan atau politik, dan penyalinan informasi tertentu yang tunduk pada permintaan penegakan hukum AS berdasarkan perintah pengadilan,” katanya.
Laporan tersebut lebih lanjut memperingatkan bahwa tingkat dan ruang lingkup kompromi ini dapat berkembang seiring dengan berlanjutnya penyelidikan.
Salt Typhoon, yang juga dikenal sebagai Earth Estries, FamousSparrow, GhostEmperor, dan UNC2286, dikatakan telah aktif setidaknya sejak tahun 2020, menurut Trend Micro. Pada Agustus 2023, kru mata-mata dikaitkan dengan serangkaian serangan yang ditujukan terhadap pemerintah dan industri teknologi yang berbasis di Filipina, Taiwan, Malaysia, Afrika Selatan, Jerman, dan Amerika Serikat.
Analisis menunjukkan bahwa para pelaku ancaman telah menyusun muatan mereka secara metodis dan memanfaatkan kombinasi menarik antara alat dan teknik yang sah dan dirancang khusus untuk melewati pertahanan dan mempertahankan akses ke target mereka.
“Earth Estries mempertahankan kegigihannya dengan terus memperbarui alat-alatnya dan menggunakan pintu belakang untuk pergerakan lateral dan pencurian kredensial,” kata peneliti Trend Micro Ted Lee, Leon M Chang, dan Lenart Bermejo dalam analisis mendalam yang diterbitkan awal bulan ini.
“Pengumpulan dan eksfiltrasi data dilakukan menggunakan TrillClient, sementara alat seperti cURL digunakan untuk mengirimkan informasi ke layanan berbagi file anonim, menggunakan proxy untuk menyembunyikan lalu lintas pintu belakang.”
Perusahaan keamanan siber tersebut mengatakan bahwa mereka mengamati dua rantai serangan berbeda yang digunakan oleh kelompok tersebut, yang menunjukkan bahwa senjata dagang yang dimiliki Salt Typhoon sangat luas dan bervariasi. Akses awal ke jaringan target difasilitasi dengan mengeksploitasi kerentanan dalam layanan yang berhubungan dengan pihak luar atau utilitas manajemen jarak jauh.
Dalam satu rangkaian serangan, pelaku ancaman ditemukan memanfaatkan instalasi QConvergeConsole yang rentan atau salah dikonfigurasi untuk mengirimkan malware seperti Cobalt Strike, pencuri khusus berbasis Go yang disebut TrillClient, dan pintu belakang seperti HemiGate dan Crowdoor, varian dari SparrowDoor yang memiliki sebelumnya telah digunakan oleh kelompok lain yang terkait dengan Tiongkok bernama Tropic Trooper.
Beberapa teknik lainnya termasuk penggunaan PSExec untuk menginstal pintu belakang dan alatnya secara lateral, dan TrillClient untuk mengumpulkan kredensial pengguna dari profil pengguna browser web dan mengekstraknya ke akun Gmail yang dikendalikan penyerang melalui Simple Mail Transfer Protocol (SMTP) untuk melanjutkan tujuannya.
Sebaliknya, rangkaian infeksi kedua jauh lebih canggih, dengan pelaku ancaman menyalahgunakan server Microsoft Exchange yang rentan untuk menanamkan web shell China Chopper, yang kemudian digunakan untuk mengirimkan Cobalt Strike, Zingdoor, dan Snappybee (alias Deed RAT), diduga penerus malware ShadowPad.
“Pengiriman pintu belakang dan alat tambahan ini dilakukan melalui a [command-and-control] server atau dengan menggunakan cURL untuk mengunduhnya dari server yang dikendalikan penyerang,” kata para peneliti. “Instalasi pintu belakang ini juga diganti dan diperbarui secara berkala.”
“Pengumpulan dokumen menarik dilakukan melalui RAR dan dieksfiltrasi menggunakan cURL, dengan data dikirim ke layanan berbagi file anonim.”
Yang juga digunakan dalam serangan ini adalah program seperti NinjaCopy untuk mengekstrak kredensial dan PortScan untuk penemuan dan pemetaan jaringan. Ketekunan pada tuan rumah dicapai melalui tugas-tugas yang dijadwalkan.
Dalam satu kasus, Salt Typhoon juga diyakini telah menggunakan kembali server proxy korban untuk meneruskan lalu lintas ke server perintah-dan-kontrol (C2) yang sebenarnya dalam upaya menyembunyikan lalu lintas berbahaya.
Trend Micro mencatat bahwa salah satu mesin yang terinfeksi juga memiliki dua pintu belakang tambahan bernama Cryptmerlin, yang menjalankan perintah tambahan yang dikeluarkan oleh server C2, dan FuxosDoor, implan Layanan Informasi Internet (IIS) yang diterapkan pada Server Exchange yang disusupi dan juga dirancang untuk jalankan perintah menggunakan cmd.exe.
“Analisis kami terhadap TTP yang persisten dari Earth Estries dalam operasi siber yang berkepanjangan mengungkapkan aktor ancaman yang canggih dan mudah beradaptasi yang menggunakan berbagai alat dan pintu belakang, menunjukkan tidak hanya kemampuan teknis, namun juga pendekatan strategis untuk mempertahankan akses dan kontrol dalam lingkungan yang dikompromikan,” para peneliti dikatakan.
“Sepanjang kampanye mereka, Earth Estries telah menunjukkan pemahaman yang tajam tentang lingkungan target mereka, dengan terus mengidentifikasi lapisan yang terbuka untuk masuk kembali. Dengan menggunakan kombinasi alat yang sudah ada dan pintu belakang khusus, mereka telah menciptakan strategi serangan berlapis-lapis yang sulit dilakukan. untuk mendeteksi dan melakukan mitigasi.”