Serangan Siber China Manfaatkan Celah Keamanan Versa Director

pibitek.biz -Para peretas jahat mengeksploitasi kerentanan zero-day pada Versa Director, sebuah produk software yang digunakan oleh banyak penyedia layanan internet dan IT. Para peneliti meyakini bahwa aktivitas tersebut terkait dengan Volt Typhoon, kelompok mata-mata siber China yang berfokus untuk menyusup ke jaringan penting di Amerika Serikat dan meletakkan dasar untuk kemampuan mengacaukan komunikasi antara Amerika Serikat dan Asia selama konflik bersenjata di masa depan dengan China. Sistem Versa Director terutama digunakan oleh penyedia layanan internet (ISP), serta penyedia layanan terkelola (MSP) yang melayani kebutuhan IT dari banyak bisnis kecil hingga menengah secara bersamaan.

Dalam sebuah advisori keamanan yang diterbitkan pada 26 Agustus, Versa mendesak pelanggan untuk menerapkan tambalan untuk kerentanan tersebut (CVE-2024-39717), yang menurut perusahaan telah diperbaiki di Versa Director 22.1.4 atau yang lebih baru. Versa menyatakan bahwa kelemahan tersebut memungkinkan penyerang untuk mengunggah file pilihan mereka ke sistem yang rentan. Advisori tersebut sebagian besar menyalahkan pelanggan Versa yang gagal menerapkan pedoman penguatan sistem dan firewall, sehingga meninggalkan port manajemen terbuka di internet yang memberikan akses awal kepada para aktor ancaman.

Advisori Versa tidak menyebutkan bagaimana mereka mengetahui tentang kelemahan zero-day ini, tetapi daftar kerentanannya di mitre.org mengakui bahwa ada laporan dari pihak ketiga berdasarkan pengamatan telemetri tulang punggung dari penyedia pihak ketiga, meskipun laporan tersebut belum dikonfirmasi hingga saat ini. Laporan pihak ketiga tersebut muncul pada akhir Juni 2024 dari Michael Horka, insinyur keamanan informasi senior di Black Lotus Labs, bagian riset keamanan Lumen Technologies, yang mengoperasikan salah satu tulang punggung internet global terbesar. Dalam sebuah wawancara dengan KrebsOnSecurity, Horka mengatakan bahwa Black Lotus Labs mengidentifikasi backdoor berbasis web pada sistem Versa Director milik empat korban di Amerika Serikat dan satu korban di luar Amerika Serikat di sektor ISP dan MSP, dengan aktivitas eksploitasi yang diketahui paling awal terjadi pada ISP di Amerika Serikat pada 12 Juni 2024.

Hal ini menjadikan Versa Director sebagai target yang menguntungkan bagi aktor ancaman persisten tingkat lanjut (APT) yang ingin melihat atau mengontrol infrastruktur jaringan dalam skala besar, atau untuk berpindah ke jaringan tambahan (atau hilir) yang menjadi target. Black Lotus Labs menilai dengan keyakinan menengah bahwa Volt Typhoon bertanggung jawab atas kompromi tersebut, mencatat bahwa intrusi tersebut memiliki ciri khas kelompok mata-mata yang disponsori negara China, termasuk serangan zero-day yang menargetkan penyedia infrastruktur IT dan backdoor berbasis Java yang hanya berjalan di memori. Pada Mei 2023, Badan Keamanan Nasional (NSA), Biro Investigasi Federal (FBI), dan Badan Keamanan Infrastruktur dan Keamanan Siber (CISA) mengeluarkan peringatan bersama (PDF) tentang Volt Typhoon, juga dikenal sebagai Bronze Silhouette dan Insidious Taurus, yang menggambarkan bagaimana kelompok tersebut menggunakan perangkat jaringan kantor kecil/rumah (SOHO) untuk menyembunyikan aktivitas mereka.

Pada awal Desember 2023, Black Lotus Labs menerbitkan temuannya tentang KV-botnet, ribuan router SOHO yang diretas yang dirantai bersama untuk membentuk jaringan transfer data tersembunyi yang mendukung berbagai kelompok peretasan yang disponsori negara China, termasuk Volt Typhoon. Pada Januari 2024, Departemen Kehakiman AS mengumumkan bahwa FBI telah melakukan penindakan yang sah atas KV-botnet tak lama sebelum Black Lotus Labs merilis laporannya pada bulan Desember. Pada Februari 2024, CISA kembali bergabung dengan FBI dan NSA dalam memperingatkan bahwa Volt Typhoon telah membahayakan lingkungan IT dari beberapa organisasi infrastruktur penting – terutama di bidang komunikasi, energi, sistem transportasi, dan sektor air dan limbah – di Amerika Serikat bagian daratan dan non-daratan serta wilayahnya, termasuk Guam.

Pilihan target dan pola perilaku Volt Typhoon tidak konsisten dengan operasi spionase siber atau pengumpulan intelijen tradisional, dan lembaga-lembaga AS yang membuat peringatan tersebut menilai dengan keyakinan tinggi bahwa aktor Volt Typhoon sedang menempatkan diri di jaringan IT untuk memungkinkan pergerakan lateral ke aset OT [teknologi operasional] untuk mengacaukan fungsi. Dalam sebuah pidato di Vanderbilt University pada bulan April, Direktur FBI Christopher Wray mengatakan bahwa China sedang mengembangkan kemampuan untuk secara fisik merusak infrastruktur penting kita pada waktu yang mereka pilih dan bahwa rencana China adalah untuk melancarkan serangan terhadap infrastruktur sipil untuk mencoba memicu kepanikan. Ryan English, seorang insinyur keamanan informasi di Lumen, mengatakan bahwa sangat mengecewakan bahwa perusahaannya tidak setidaknya mendapatkan penyebutan kehormatan dalam advisori keamanan Versa.

Namun, ia mengatakan bahwa ia senang bahwa sekarang ada lebih sedikit sistem Versa yang terpapar serangan ini. Lumen telah selama sembilan minggu terakhir sangat dekat dengan kepemimpinan mereka dengan tujuan untuk membantu mereka mengurangi hal ini. Mereka telah memberikan semua yang mereka bisa sepanjang jalan, jadi agak menjengkelkan karena hanya disebutkan sebagai pihak ketiga. Volt Typhoon menunjukkan tingkat sofistikasi dan keberanian dalam serangannya. Serangan ini bukan sekadar upaya pencurian data, tetapi menunjukkan niat yang jelas untuk mengganggu infrastruktur penting dan menciptakan kekacauan di Amerika Serikat.

Ini adalah tanda peringatan yang serius bagi semua negara dan organisasi yang bergantung pada infrastruktur kritis. Terlepas dari upaya untuk menutupi jejak mereka, para peretas Volt Typhoon menunjukkan pola yang konsisten, yang mengindikasikan bahwa mereka menggunakan perangkat SOHO untuk bersembunyi dan bergerak melalui jaringan. Ini adalah bukti bahwa serangan siber saat ini tidak hanya berfokus pada sistem kelas atas, tetapi juga menggunakan kelemahan dalam perangkat sehari-hari. Penggunaan backdoor berbasis Java yang berjalan di memori hanya memperumit upaya deteksi dan mitigasi.

Para peretas menggunakan metode yang tersembunyi dan sulit dilacak, menunjukkan bahwa mereka memiliki sumber daya dan keahlian yang besar. Serangan Volt Typhoon menyoroti kerentanan yang mengerikan dalam sistem jaringan, terutama di sektor ISP dan MSP. Ini adalah bukti bahwa bahkan sistem yang dirancang untuk menjadi aman bisa rentan terhadap eksploitasi. Dengan demikian, sangat penting bagi semua organisasi, terutama di sektor infrastruktur penting, untuk meningkatkan upaya keamanan siber mereka secara signifikan.

Ini termasuk menerapkan tambalan keamanan tepat waktu, menggunakan alat keamanan jaringan yang kuat, dan meninjau dengan hati-hati rantai pasokan software mereka. Perusahaan seperti Versa, yang menyediakan layanan penting kepada berbagai organisasi, harus bertanggung jawab atas keamanan produk mereka dan memastikan bahwa mereka tidak menjadi titik lemah bagi penyerang. Mereka harus berkolaborasi dengan peneliti keamanan dan berbagi informasi tentang kerentanan yang ditemukan untuk melindungi semua orang.

Namun, meskipun upaya terbaik untuk mengamankan infrastruktur, serangan siber seperti ini terus terjadi. Ini menunjukkan bahwa perang siber adalah kenyataan, dan dunia harus bersiap menghadapi ancaman yang berkembang dan merusak yang ditimbulkan oleh negara-negara seperti China. Para peretas yang terlibat dalam serangan ini kemungkinan memiliki akses ke sumber daya yang besar dan pengetahuan teknis yang mendalam. Ini menunjukkan perlunya kolaborasi internasional yang lebih kuat untuk memerangi ancaman siber, karena tidak ada negara yang dapat mengatasi ancaman ini sendirian.

Perusahaan dan individu harus memahami bahwa setiap orang berpotensi menjadi target serangan siber. Kesenjangan pengetahuan dan ketidaktersediaan sumber daya keamanan yang memadai dapat membuat banyak individu dan organisasi rentan terhadap serangan. Perhatian terhadap keamanan siber dan kesadaran akan ancaman yang berkembang sangatlah penting. Individu dan organisasi harus proaktif dalam melindungi informasi mereka dan memahami langkah-langkah yang dapat mereka ambil untuk mengurangi risiko. Meskipun upaya yang dilakukan oleh peneliti keamanan dan lembaga pemerintahan, para peretas terus menemukan cara baru untuk mengeksploitasi sistem dan menargetkan infrastruktur penting.

Tidak jelas berapa lama serangan Volt Typhoon akan berlanjut dan apa dampaknya yang sebenarnya. Namun, serangan ini menunjukkan bahwa negara-negara terus-menerus terlibat dalam perlombaan senjata siber, dan dunia harus bersiap untuk menghadapi konsekuensi yang merugikan jika serangan semacam itu berujung pada konflik skala besar.