 |
| cover | topik.id |
Pengungkapan itu terjadi saat beberapa penyedia telekomunikasi AS menjadi sasaran aktor ancaman lain yang disponsori negara Tiongkok bernama Salt Typhoon.
Salt Typhoon diyakini sebagai pelaku ancaman yang terkait dengan Republik Rakyat Tiongkok (RRT) dan telah beroperasi sejak 2019. Sasaran utama Salt Typhoon berada di Amerika Serikat, Asia Tenggara, dan berbagai negara Afrika, dengan fokus pada pencurian informasi dan spionase.
Dikenal juga sebagai FamousSparrow, GhostEmperor, Earth Estries, dan UNC2286, kelompok ini pertama kali diamati pada tahun 2024 dan diyakini bertanggung jawab atas infiltrasi Penyedia Layanan Internet (ISP) di Amerika Serikat untuk memperoleh data yang terkait dengan aktivitas penegakan hukum.
"Pada tanggal 8 Desember 2024, Departemen Keuangan diberitahu oleh penyedia layanan perangkat lunak pihak ketiga, BeyondTrust, bahwa Pelaku ancaman telah memperoleh akses ke kunci yang digunakan oleh vendor untuk mengamankan layanan berbasis cloud yang digunakan untuk memberikan dukungan teknis jarak jauh bagi pengguna akhir Kantor Departemen Keuangan (DO)," kata departemen tersebut dalam surat yang memberi tahu Komite Senat tentang Perbankan, Perumahan, dan Urusan Perkotaan.
Dengan akses ke kunci yang dicuri, pelaku ancaman dapat mengabaikan keamanan layanan, mengakses stasiun kerja pengguna DO Departemen Keuangan tertentu dari jarak jauh, dan mengakses dokumen tidak rahasia tertentu yang dikelola oleh pengguna tersebut.
Badan federal itu mengatakan telah bekerja sama dengan Badan Keamanan Siber dan Infrastruktur (CISA) serta Biro Investigasi Federal (FBI), dan bukti yang ada menunjukkan bahwa hal itu merupakan hasil kerja aktor Ancaman Persisten Tingkat Lanjut atau Advanced Persistent Threat (APT) yang disponsori negara dan tidak disebutkan namanya dari Tiongkok.
Departemen Keuangan lebih lanjut mengatakan bahwa pihaknya telah menonaktifkan layanan BeyondTrust, dan menambahkan tidak ada bukti bahwa pelaku ancaman memiliki akses ke lingkungan tersebut.
Awal bulan ini, BeyondTrust mengungkapkan bahwa pihaknya menjadi korban intrusi digital yang memungkinkan pelaku jahat membobol beberapa instans SaaS Dukungan jarak jauhnya.
Perusahaan tersebut mengatakan bahwa penyelidikannya terhadap insiden tersebut menemukan bahwa para penyerang memperoleh akses ke kunci API SaaS Dukungan Jarak Jauh yang memungkinkan mereka mengatur ulang kata sandi untuk akun aplikasi lokal. BeyondTrust belum mengungkapkan bagaimana kunci tersebut diperoleh.
"BeyondTrust segera mencabut kunci API, memberi tahu pelanggan yang diketahui terkena dampak, dan menangguhkan kejadian tersebut di hari yang sama sambil menyediakan kejadian SaaS Dukungan Jarak Jauh alternatif bagi pelanggan tersebut," jelasnya.
Penyelidikan tersebut juga mengungkap dua kelemahan keamanan dalam produk Privileged Remote Access (PRA) dan Remote Support (RS) (CVE-2024-12356, skor CVSS: 9,8 dan CVE-2024-12686, skor CVSS: 6,6).
Yang pertama telah ditambahkan ke katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV) milik CISA, dengan mengutip bukti eksploitasi aktif di alam liar.
Dalam dunia hacking Salt Typhoon sering menggunakan nama samaran atau alias seperti Earth Estries, FamousSparrow, GhostEmperor, UNC2286. Industri yang menjadi sasarannya adalah sistem rumah sakit, pemerintah, telekomunikasi dengan tujuan spionase siber dan pencurian data.
