China Tuding Volt Typhoon Rekayasa AS untuk Tutupi Serangan Siber

Pusat Respons Darurat Virus Komputer Nasional China (CVERC) kembali menegaskan tuduhannya bahwa aktor ancaman yang dikenal sebagai Volt Typhoon adalah rekayasa AS dan sekutunya. Bersama dengan National Engineering Laboratory for Computer Virus Prevention Technology, CVERC menuduh pemerintah federal AS, badan intelijen, dan negara-negara anggota Five Eyes melakukan kegiatan spionase siber terhadap China, Prancis, Jerman, Jepang, dan pengguna internet di seluruh dunia.

CVERC mengklaim memiliki "bukti kuat" bahwa AS menjalankan operasi false flag untuk menutupi serangan sibernya sendiri, sembari menciptakan narasi palsu tentang ancaman serangan siber dari China. Laporan tersebut juga menuduh AS telah membangun jaringan pengawasan internet global berskala besar. Menurut CVERC, AS menggunakan serangan rantai pasokan, menanam backdoor dalam produk internet, dan telah melakukan persiapan untuk serangan siber jauh sebelumnya, yang membuktikan bahwa Volt Typhoon hanyalah "sandiwara politik" yang ditulis, disutradarai, dan dimainkan oleh pemerintah AS.

Dalam pernyataan lebih lanjut, CVERC menyebut bahwa pangkalan militer AS di Guam, yang sebelumnya dilaporkan menjadi korban serangan siber Volt Typhoon, sebenarnya adalah pelaku dari serangkaian serangan siber terhadap China dan negara-negara di Asia Tenggara. Selain itu, pangkalan ini juga menjadi pusat penampungan data yang dicuri dari negara-negara tersebut.

Klaim tentang Volt Typhoon sebagai kampanye disinformasi yang diorkestrasi oleh badan intelijen AS pertama kali dipublikasikan oleh CVERC pada Juli lalu. Volt Typhoon adalah nama yang diberikan kepada kelompok peretas yang diduga berafiliasi dengan China dan telah aktif sejak 2019. Kelompok ini diketahui menyusup ke jaringan infrastruktur penting dengan cara menyamarkan lalu lintas melalui perangkat tepi seperti router, firewall, dan perangkat keras VPN untuk menghindari deteksi.

Pada Agustus 2024, Volt Typhoon dikaitkan dengan eksploitasi zero-day dari kelemahan keamanan kritis di Versa Director (CVE-2024-39717) dengan skor CVSS 6,6. Eksploitasi ini digunakan untuk menyebarkan web shell bernama VersaMem, yang memungkinkan pencurian kredensial dan menjalankan kode berbahaya. Penggunaan perangkat tepi dalam serangan yang terkait dengan China telah menjadi pola dalam beberapa tahun terakhir, dengan beberapa kampanye memanfaatkan perangkat ini sebagai Operational Relay Boxes (ORB) untuk menghindari deteksi.

Laporan terbaru dari perusahaan keamanan siber Prancis, Sekoia, juga memperkuat tuduhan ini. Peneliti Sekoia menemukan bahwa aktor ancaman yang diduga berasal dari China terlibat dalam kampanye serangan yang menargetkan perangkat tepi seperti router dan kamera untuk menyebarkan backdoor seperti GobRAT dan Bulbature. Bulbature, yang belum pernah didokumentasikan sebelumnya, digunakan untuk mengubah perangkat yang sudah dikompromikan menjadi ORB, yang berfungsi untuk meneruskan serangan ke target akhir dan menyembunyikan lokasi pelaku.

Laporan terbaru CVERC setebal 59 halaman mengklaim bahwa lebih dari 50 ahli keamanan dari AS, Eropa, dan Asia menghubungi mereka untuk menyampaikan keprihatinan terkait narasi palsu AS tentang Volt Typhoon. Namun, CVERC tidak mengungkap identitas para ahli tersebut atau alasan mereka mendukung hipotesis tersebut.

Selain itu, CVERC menyebut bahwa pada 2015, badan intelijen AS menciptakan toolkit rahasia bernama Marble dengan tujuan untuk mengacaukan upaya atribusi. Toolkit ini merupakan kerangka kerja yang dapat diintegrasikan dengan proyek pengembangan senjata siber lain untuk mengaburkan berbagai fitur yang dapat diidentifikasi dalam kode program, sehingga "menghapus" jejak pengembang senjata siber. Lebih lanjut, toolkit ini memiliki fungsi untuk menyisipkan string dalam bahasa lain, seperti China, Rusia, Korea, Persia, dan Arab, yang bertujuan untuk menyesatkan penyelidik dan menyalahkan negara-negara tersebut.

Laporan tersebut juga menuduh AS menggunakan keunggulan teknologi dan posisi geografisnya dalam pembangunan infrastruktur internet untuk mengendalikan kabel serat optik di seluruh Atlantik dan Pasifik. Hal ini, menurut CVERC, memungkinkan AS melakukan pemantauan tanpa pandang bulu terhadap pengguna internet di seluruh dunia.

CVERC juga mengkritik perusahaan seperti Microsoft dan CrowdStrike, yang menurutnya telah memberikan nama yang "absurd" dan memiliki "nuansa geopolitik yang jelas" kepada kelompok ancaman, seperti "typhoon," "panda," dan "dragon." Sebagai penutup, laporan tersebut menyerukan kolaborasi internasional yang lebih luas dalam penelitian dan pengembangan teknologi keamanan siber guna menciptakan produk dan layanan yang lebih baik bagi pengguna.