Selama bertahun-tahun, fakta yang tidak menyenangkan dalam industri keamanan siber adalah bahwa perangkat keamanan siber yang dijual untuk melindungi pelanggan dari mata-mata dan penjahat dunia maya sering kali merupakan mesin yang diretas oleh penyusup ke dalam target mereka. Berkali-kali, kerentanan pada perangkat “periferal” seperti firewall dan perangkat VPN memberikan pijakan bagi peretas berpengalaman yang mencoba membobol sistem yang dirancang untuk dilindungi oleh perangkat ini.
Kini, sebuah vendor keamanan siber telah mengungkapkan berapa lama mereka berjuang keras melawan sekelompok peretas yang mencoba mengeksploitasi produknya demi keuntungan mereka sendiri. Selama lebih dari lima tahun, perusahaan keamanan siber asal Inggris, Sophos, terlibat dalam permainan kucing-kucingan dengan tim musuh yang terhubung secara longgar dan menargetkan firewall-nya. Perusahaan ini bahkan melacak dan memantau perangkat tertentu yang digunakan para peretas untuk menguji teknik intrusi, memantau para peretas di tempat kerja, dan pada akhirnya melacak upaya eksploitasi terkonsentrasi selama bertahun-tahun ke jaringan peneliti kerentanan di Chengdu, Tiongkok.
Sophos mencatat perang selama lima tahun dengan peretas Tiongkok dalam sebuah laporan pada hari Kamis, merinci peningkatan aksi saling balas dendam. Perusahaan tersebut bahkan secara diam-diam memasang “pabrik” miliknya pada perangkat Sophos milik peretas Tiongkok untuk memantau dan memblokir upaya mereka untuk mengeksploitasi firewallnya. Peneliti Sophos bahkan akhirnya mendapatkan sampel malware “bootkit” dari mesin uji peretas, sejenis malware yang dirancang untuk bersembunyi tanpa terdeteksi dalam kode firewall tingkat rendah yang digunakan untuk mem-boot perangkat.
Dalam prosesnya, analis Sophos mengungkap serangkaian kampanye peretasan yang dimulai dengan eksploitasi produk-produknya dalam skala besar dan tidak pandang bulu, namun akhirnya menjadi lebih halus dan tertarget, menyerang pemasok dan regulator energi nuklir. Sasaran militer mencakup rumah sakit militer, telekomunikasi, pemerintah, dan intelijen. lembaga, dan bandara di ibu kota negara. Meskipun sebagian besar target (Sophos menolak memberikan rincian lebih lanjut) berlokasi di Asia Selatan dan Tenggara, sejumlah kecil berlokasi di Eropa, Timur Tengah, dan Amerika Serikat.
Laporan Sophos menghubungkan berbagai kampanye peretasan ini, dengan tingkat kredibilitas yang berbeda-beda, dengan kelompok peretasan yang disponsori negara Tiongkok, termasuk APT41, APT31 dan Volt Typhoon, sebuah kelompok yang sangat agresif yang berupaya mengganggu kemampuan infrastruktur penting Amerika Serikat. termasuk jaringan listrik. Namun perusahaan tersebut mengatakan bahwa kesamaan dalam serangan terhadap perangkat Sophos ini bukanlah salah satu kelompok peretas yang telah diidentifikasi sebelumnya, namun jaringan peneliti yang lebih luas yang tampaknya telah mengembangkan teknologi peretasan dan memberikannya kepada pemerintah Tiongkok. Analis Sophos menghubungkan pengembangan ini dengan institusi akademis dan kontraktor di sekitar Chengdu: Sichuan Silent Information Technology Company (perusahaan yang sebelumnya dikaitkan Meta dengan kampanye disinformasi yang dikelola negara Tiongkok) dan Universitas Sains dan Teknologi Elektronik Tiongkok.
Sophos mengatakan bahwa mereka menceritakan kisah ini sekarang tidak hanya untuk menjelaskan jalur penelitian dan pengembangan peretasan di Tiongkok, namun juga untuk memecah kesunyian industri keamanan siber mengenai masalah kerentanan yang lebih besar pada perangkat keamanan sebagai pintu masuk bagi peretas. Misalnya, dalam satu tahun terakhir, kelemahan pada produk keamanan dari vendor lain, termasuk Avanti, Fortinet, Cisco, dan Palo Alto, telah dieksploitasi dalam serangan peretasan skala besar atau intrusi yang ditargetkan. “Ini sudah menjadi rahasia umum. Orang-orang tahu ini sedang terjadi, tapi sayangnya semua orang ritsleting,Chief Security Officer Sophos Ross McKerchar mengatakan, menirukan unzipping. “Kami mengambil pendekatan yang berbeda, mencoba bersikap sangat transparan, mengatasi masalah ini secara langsung dan menghadapi musuh kami di medan perang. “
Dari monitor yang diretas hingga gelombang intrusi besar-besaran
Seperti yang dikatakan Sophos, pertarungan panjang perusahaannya dengan peretas Tiongkok dimulai pada tahun 2018 ketika Sophos sendiri disusupi. Perusahaan tersebut menemukan infeksi malware pada komputer yang menjalankan monitor di kantor anak perusahaannya di India, Cyberoam, di Ahmedabad. Malware ini menarik perhatian Sophos karena pemindaian jaringannya yang berisik. Namun ketika analis perusahaan melihat lebih dekat, mereka menemukan bahwa peretas di baliknya telah menyusupi mesin lain di jaringan Cyberoam menggunakan rootkit yang lebih canggih yang mereka identifikasi sebagai CloudSnooper. Jika ditinjau kembali, perusahaan yakin pelanggaran awal adalah upaya untuk mendapatkan informasi intelijen tentang produk Sophos untuk melakukan serangan selanjutnya terhadap pelanggannya.
Kemudian pada musim semi tahun 2020, Sophos mulai mempelajari kampanye infeksi sembarangan yang meluas yang menargetkan puluhan ribu firewall di seluruh dunia, tampaknya mencoba memasang Trojan bernama Asnarök dan membuat apa yang disebut “kotak relai operasional”. mesin yang terinfeksi yang dapat digunakan peretas sebagai titik peluncuran untuk operasi lainnya. Kampanye ini secara mengejutkan memiliki sumber daya yang baik, mengeksploitasi berbagai kerentanan zero-day yang tampaknya ditemukan oleh peretas di perangkat Sophos. Hanya kesalahan dalam upaya pembersihan malware pada sejumlah kecil mesin yang terkena dampak yang memungkinkan Sophos menganalisis intrusi tersebut dan memulai penelitian terhadap peretas yang menargetkan produknya.