Pusat Tanggap Darurat Virus Komputer Nasional (CVERC) Tiongkok telah menggandakan klaim yang dikenal sebagai pelaku ancaman Topan Volt adalah rekayasa AS dan sekutunya.
Badan tersebut, bekerja sama dengan Laboratorium Teknik Nasional untuk Teknologi Pencegahan Virus Komputer, selanjutnya menuduh pemerintah federal AS, badan intelijen, dan negara Lima Mata melakukan aktivitas spionase dunia maya terhadap Tiongkok, Prancis, Jerman, Jepang, dan pengguna internet secara global. .
Mereka juga mengatakan ada “bukti kuat” yang menunjukkan bahwa AS melakukan operasi palsu (false flag) dalam upaya untuk menyembunyikan serangan siber berbahaya mereka, dan menambahkan bahwa mereka menciptakan “apa yang disebut bahaya serangan siber Tiongkok” dan bahwa mereka telah membentuk “kelompok besar” jaringan pengawasan internet global berskala besar.”
“Dan fakta bahwa AS melakukan serangan terhadap rantai pasokan, menanamkan pintu belakang (backdoor) pada produk-produk internet, dan melakukan ‘pre-positioning’ telah sepenuhnya menghilangkan prasangka Volt Typhoon – sebuah lelucon politik yang ditulis, diarahkan, dan dilakukan oleh pemerintah federal AS,” katanya.
“Pangkalan militer AS di Guam sama sekali bukan korban serangan siber Volt Typhoon, melainkan pemrakarsa sejumlah besar serangan siber terhadap Tiongkok dan banyak negara Asia Tenggara serta pusat backhaul data yang dicuri.”
Perlu dicatat bahwa laporan sebelumnya yang diterbitkan oleh CVERC pada bulan Juli mencirikan Volt Typhoon sebagai kampanye misinformasi yang diatur oleh badan intelijen AS.
Volt Typhoon adalah julukan yang diberikan kepada kelompok spionase siber China-nexus yang diyakini aktif sejak tahun 2019, secara diam-diam menyematkan dirinya ke dalam jaringan infrastruktur penting dengan merutekan lalu lintas melalui perangkat edge yang membahayakan router, firewall, dan perangkat keras VPN dalam upaya untuk berbaur dan terbang di bawah radar.
Baru-baru ini pada akhir Agustus 2024, hal ini dikaitkan dengan eksploitasi zero-day atas kelemahan keamanan dengan tingkat keparahan tinggi yang berdampak pada Versa Director (CVE-2024-39717, skor CVSS: 6.6) untuk mengirimkan shell web bernama VersaMem untuk memfasilitasi pencurian kredensial dan menjalankan kode arbitrer.
Penggunaan perangkat edge oleh perangkat intrusi yang terkait dengan Tiongkok telah menjadi suatu pola dalam beberapa tahun terakhir, dengan beberapa kampanye memanfaatkannya sebagai Operational Relay Box (ORB) untuk menghindari deteksi.
Hal ini diperkuat oleh laporan baru-baru ini yang diterbitkan oleh perusahaan keamanan siber Perancis, Sekoia, yang mengaitkan pelaku ancaman yang kemungkinan besar berasal dari Tiongkok dengan kampanye serangan berskala luas yang menginfeksi perangkat edge seperti router dan kamera untuk menggunakan pintu belakang seperti GobRAT dan Bulbature untuk serangan lanjutan. terhadap target kepentingan.
“Bulbature, sebuah implan yang belum didokumentasikan dalam sumber terbuka, tampaknya hanya digunakan untuk mengubah perangkat edge yang disusupi menjadi ORB untuk meneruskan serangan terhadap jaringan korban akhir,” kata para peneliti.
“Arsitektur ini, yang terdiri dari perangkat edge yang dikompromikan dan bertindak sebagai ORB, memungkinkan operator untuk melakukan operasi cyber ofensif di seluruh dunia dekat dengan target akhir dan menyembunyikan lokasinya dengan membuat terowongan proxy sesuai permintaan.”
Dalam dokumen setebal 59 halaman terbaru, pihak berwenang Tiongkok mengatakan lebih dari 50 pakar keamanan dari AS, Eropa, dan Asia menghubungi CVERC, mengungkapkan kekhawatiran terkait dengan “narasi palsu AS” tentang Topan Volt dan kurangnya bukti yang mengaitkannya. aktor ancaman bagi Tiongkok.
Namun CVERC tidak menyebutkan nama para ahli tersebut, maupun alasan mereka mendukung hipotesis tersebut. Lebih lanjut dinyatakan bahwa badan-badan intelijen AS menciptakan perangkat tersembunyi yang diberi nama Marble selambat-lambatnya pada tahun 2015 dengan tujuan untuk mengacaukan upaya atribusi.
“Perangkat ini adalah kerangka alat yang dapat diintegrasikan dengan proyek pengembangan senjata siber lainnya untuk membantu pengembang senjata siber dalam mengaburkan berbagai fitur yang dapat diidentifikasi dalam kode program, yang secara efektif ‘menghapus’ ‘sidik jari’ para pengembang senjata siber,” katanya.
Terlebih lagi, kerangka tersebut memiliki fungsi yang lebih 'tidak tahu malu' untuk memasukkan string dalam bahasa lain, seperti Cina, Rusia, Korea, Persia, dan Arab, yang jelas-jelas dimaksudkan untuk menyesatkan penyelidik dan menjebak Tiongkok, Rusia, Korea Utara, Iran. , dan negara-negara Arab.”
Laporan tersebut lebih lanjut menggunakan kesempatan ini untuk menuduh AS mengandalkan “keunggulan teknologi bawaan dan keunggulan geologis dalam pembangunan internet” untuk mengendalikan kabel serat optik melintasi Atlantik dan Pasifik dan menggunakannya untuk “pemantauan tanpa pandang bulu” terhadap pengguna internet. di seluruh dunia.
Mereka juga menuduh bahwa perusahaan-perusahaan seperti Microsoft dan CrowdStrike terpaksa memberikan julukan yang “tidak masuk akal” dengan “nuansa geopolitik yang jelas” untuk kelompok aktivitas ancaman dengan nama seperti “topan”, “panda”, dan “naga”.
“Sekali lagi, kami ingin menyerukan kolaborasi internasional yang luas di bidang ini,” tutupnya. “Selain itu, perusahaan dan lembaga penelitian keamanan siber harus fokus pada penelitian teknologi anti ancaman siber serta produk dan layanan yang lebih baik bagi pengguna.”