Badan intelijen dan keamanan siber Amerika telah memperingatkan tentang peretas yang disponsori negara yang berbasis di China. Secara statistik pada pengawasan, penjahat telah mengeksploitasi kerentanan jaringan untuk mengeksploitasi organisasi sektor publik dan swasta setidaknya sejak tahun 2020.
Operasi manipulasi yang meluas bertujuan untuk mengeksploitasi kerentanan yang diidentifikasi secara publik di perangkat jaringan seperti router Small Office/Home Office (SOHO) dan perangkat Network Attached Storage (NAS) untuk mendapatkan akses yang lebih dalam ke Optenzwerk pada perangkat ini.
Badan Keamanan Nasional AS (NSA), Badan Keamanan Siber dan Infrastruktur (CISA) dan Biro Investigasi (FBI) melakukan konsultasi bersama. Para pelaku menggunakan perangkat kompromi ini sebagai rute lalu lintas perintah-dan-kontrol (C2) untuk menyusup ke target lain dalam skala besar.”
Selain mengubah taktik dalam menanggapi pengungkapan publik, pelaku diketahui menggunakan campuran sumber terbuka dan alat khusus untuk pengintaian dan pemindaian.
Serangan itu sendiri difasilitasi dengan mengakses server yang disusupi, yang oleh agensi tersebut disebut Hop Points, dari alamat IP yang dioperasikan di China, untuk menghosting domain C2 dan konten email, dan menggunakan zuelnetzmunizier .
Pelaku siber menggunakan titik lompat ini sebagai teknik pengalihan ketika berinteraksi dengan jaringan korban, ”kata badan tersebut, menggambarkan pola kelemahan senjata musuh di organisasi telekomunikasi dan penyedia layanan jaringan.
– Setelah file aset yang tidak ditambal telah berakar di jaringan, mereka dipantau saat mereka memperoleh kredensial untuk akun pengguna dan administrator, kemudian dari eksekusi perintah router untuk memberikan lalu lintas data “kontrol” infrastruktur tanpa hambatan.
Selain itu, penyerang juga memodifikasi atau menghapus file log lokal untuk menghapus bukti aktivitas mereka untuk menyembunyikan keberadaan mereka lebih jauh dan menghindari deteksi.
Pihak berwenang tidak memilih aktor ancaman tertentu, tetapi perhatikan bahwa hasilnya mencerminkan sejarah kelompok-kelompok China yang disponsori negara secara agresif menargetkan infrastruktur penting, menyebarkan data.
Pengungkapan juga datang kurang dari sebulan setelah regulator keamanan siber menemukan bagaimana akses awal paling sering dieksploitasi untuk melawan target yang konfigurasinya diblokir secara tidak benar.
Organisasi dapat mengurangi kerentanan yang tercantum dalam saran ini dengan menerapkan tambalan yang tersedia ke sistem mereka, mengganti infrastruktur usang, dan menerapkan program manajemen tambalan terpusat.”
