Sebagai hasil dari penelitian, Wall Street Journal menemukan bahwa serangan Cloud Hopper jauh lebih luas daripada yang diperkirakan sebelumnya.
Peretas sepertinya bersembunyi di mana-mana.
Dalam salah satu upaya terbesar dalam mengorganisir spionase industri, para penyerang yang dilaporkan bekerja sama dengan intelijen Tiongkok telah mencuri sejumlah besar kekayaan intelektual selama beberapa tahun terakhir, perincian mengenai izin keamanan dan catatan lain dari banyak perusahaan. Mereka mendapatkan akses ke sistem yang mengandung rahasia eksplorasi oleh Rio Tinto, serta penelitian medis non-publik dari perusahaan elektronik dan perawatan kesehatan raksasa Philips.
Mereka memasuki sistem melalui penyedia layanan cloud - awan di mana perusahaan menyimpan data mereka dengan harapan keamanan mereka. Setelah menembus layanan seperti itu, peretas dapat secara anonim dan bebas berpindah dari satu klien ke klien lain, dan selama bertahun-tahun menentang upaya para peneliti untuk membuang mereka dari sana.
Untuk pertama kalinya, para peneliti cybersecurity menemukan tanda-tanda peretasan pada tahun 2016, dan menamakannya Cloud Hopper [cloud hopper]. Desember lalu, jaksa penuntut AS
menyalahkan dua warga Tiongkok untuk ini. Para tersangka belum ditahan.
Sebuah studi oleh Wall Street Journal menemukan bahwa sebenarnya skala serangan ini jauh lebih besar dari perkiraan sebelumnya. Ini jauh melampaui 14 perusahaan tanpa nama yang tercantum dalam dakwaan, itu meluas ke beberapa penyedia cloud setidaknya sepuluh, termasuk CGI Group Inc., salah satu penyedia Kanada terbesar; Tieto Oyj, perusahaan IT Finlandia utama; dan Mesin Bisnis Internasional Corp
WSJ mengumpulkan informasi tentang peretasan dan serangan balik yang dilakukan oleh perusahaan keamanan dan pemerintah Barat, mewawancarai lebih dari sepuluh penyelidik, memeriksa ratusan halaman dokumentasi internal dan penyelidikan perusahaan, dan data teknis terkait dengan intrusi.
WSJ menemukan bahwa di Hewlett Packard Enterprise Co. semuanya begitu buruk sehingga perusahaan cloud bahkan tidak melihat peretas memasuki kembali jaringan klien, dan memberi lampu hijau kepada semua pelanggan.
Di dalam awan, sekelompok peretas, yang dijuluki pejabat dan peneliti Barat APT10, mendapatkan akses ke sejumlah besar pelanggan. Sebuah studi WSJ menemukan ratusan perusahaan yang bekerja dengan penyedia cloud yang terkena dampak, termasuk Rio Tinto, Philips, American Airlines Group Inc., Deutsche Bank AG, Allianz SE, dan GlaxoSmithKline PLC.
Direktur FBI Christopher Ray membacakan tuduhan dua warga Tiongkok dalam serangan Cloud Hopper 20 Desember 2018Pertanyaan apakah peretas tetap berada di dalam jaringan perusahaan hingga hari ini tetap merupakan pertanyaan terbuka. WSJ memeriksa data yang disediakan oleh SecurityScorecard dan menemukan ratusan alamat IP di seluruh dunia yang terus mengirimkan data ke jaringan APT10 dari April hingga pertengahan November.
Menurut pejabat saat ini dan sebelumnya, otoritas AS, termasuk Departemen Kehakiman AS, khawatir tentang apakah mereka adalah korban dari serangan ini dan apakah serangan ini memberi pemerintah Tiongkok akses ke infrastruktur kritis. Pada tahun 2019, Reuters
melaporkan beberapa aspek yang menarik bagi proyek spionase dunia maya Tiongkok.
Sekarang pemerintah AS mengklaim bahwa APT10 berhasil mencuri kasus rinci pada lebih dari 100.000 personel Angkatan Laut AS.
US Navy Sailors Watch EA-18 Growler AircraftPara peneliti, baik dari pemerintah dan pihak ketiga, mengklaim bahwa banyak perusahaan cloud terbesar telah mencoba untuk menjaga pelanggan dalam kegelapan tentang apa yang terjadi di jaringan mereka. "Rasanya seperti mencoba menghentikan pasir hisap," kata seorang peneliti.
Pejabat Departemen Keamanan Dalam Negeri AS sangat frustrasi dengan perlawanan dari perusahaan cloud sehingga hari ini mereka sedang berupaya merevisi kontrak federal untuk memaksa perusahaan tunduk pada penginderaan di masa depan, seperti yang dikatakan oleh beberapa orang yang akrab dengan subjek tersebut.
Seorang juru bicara Departemen Keamanan Dalam Negeri AS tidak menjawab pertanyaan apakah kementerian itu diretas. Kementerian Kehakiman juga tidak menanggapi permintaan tersebut.
Juru bicara HPE Adam Bauer mengatakan perusahaan "bekerja keras untuk memperbaiki dampak gangguan ini pada pelanggan kami," dan menambahkan bahwa "keamanan data pengguna adalah prioritas utama kami."
"Kami sepenuhnya menolak semua tuduhan dari media bahwa HPE tidak bekerja sama dengan pemerintah dengan semua semangat yang mungkin," kata Bauer. "Semua tuduhan seperti itu adalah kebohongan terang-terangan."
Juru bicara IBM Edward Barbini mengatakan perusahaan sedang menyelidiki insiden tersebut dengan lembaga pemerintah terkait dan menambahkan bahwa โkami tidak memiliki bukti kompromi terhadap data perusahaan yang sensitif. Kami secara individual telah bekerja dengan semua klien yang telah menyatakan keprihatinan. "
Peretasan ini menunjukkan kerentanan yang ada di pusat bisnis global - lagipula, perusahaan terbesar di dunia menyimpan volume informasi sensitif yang terus meningkat tentang kapasitas penyedia cloud yang telah lama membual tentang keamanan mereka.
Banyak perusahaan yang dihubungi oleh editor WSJ menolak untuk mengungkapkan apakah mereka diserang. American Airlines mengatakan mereka menerima pemberitahuan dari HPE pada 2015 bahwa "sistem mereka terlibat dalam insiden keamanan cyber" dan bahwa mereka "tidak menemukan bukti adanya sistem atau data yang membahayakan."
Philips mengatakan bahwa perusahaan menyadari upaya peretasan yang dapat dikaitkan dengan kegiatan APT10, dan bahwa "hari ini semua upaya ini telah ditekan dengan tepat."
Seorang juru bicara Allianz mengatakan perusahaan "tidak menemukan bukti" kehadiran APT10 dalam sistem mereka.
GlaxoSmithKline, Deutsche Bank, Rio Tinto dan Tieto tidak berkomentar. CGI tidak menerima respons terhadap beberapa permintaan. Pemerintah Cina juga tidak menanggapi permintaan itu. Di masa lalu, ia telah membantah tuduhan peretasan.
Hantu
Para peneliti mengatakan bahwa Cloud Hopper telah menjadi teknologi baru untuk APT10 (Advanced Persistent Threat, salah satu kelompok peretas China yang paling sulit dipahami. โIngat lelucon lama itu tentang mengapa kamu perlu merampok bank? Kata Anne Newberger, kepala direktorat keamanan siber Badan Keamanan Nasional. "Karena uang itu ada di sana."
APT10 yang terkait dengan keamanan telah dilacak selama lebih dari satu dekade, sementara yang terakhir telah melewati pemerintah, perusahaan teknik, perusahaan luar angkasa, dan telekomunikasi. Banyak informasi tentang tim ini masih dirahasiakan, meskipun jaksa penuntut Amerika telah menyarankan bahwa setidaknya beberapa anggotanya bekerja untuk Departemen Keamanan Dalam Negeri Cina.
Untuk masuk ke layanan cloud, peretas terkadang mengirim email phishing ke administrator dengan tingkat akses yang tinggi. Kadang-kadang mereka meretas mereka melalui sistem kontraktor, kata para peneliti.
Rio Tinto adalah salah satu target pertama dan kelinci percobaan, dinilai dari dugaan dua orang yang akrab dengan kasus ini. Perusahaan yang terlibat dalam tembaga, berlian, aluminium, bijih besi, dan uranium diretas melalui penyedia cloud CGI pada 2013.
Tambang Rio Tinto di Harrow, California.Apa yang dapat diperoleh peretas tidak diketahui, tetapi salah satu peneliti yang mengetahui kasus ini mengatakan bahwa informasi tersebut dapat digunakan untuk membeli real estat di tempat-tempat di mana perusahaan pertambangan berencana untuk memulai pengembangan.
Orin Palivoda, agen khusus FBI yang menyelidiki Cloud Hopper, mengatakan pada konferensi keamanan baru-baru ini di New York bahwa tim APT10 bekerja seperti hantu di awan. Mereka "pada dasarnya tampak seperti semua lalu lintas lainnya," katanya. "Dan itu masalah besar, besar."
Chris McConkie, peneliti senior cybersecurity di anak perusahaan PricewaterhouseCoopers London, adalah salah satu yang pertama kali menemukan ruang lingkup operasi APT10. Selama audit keamanan rutin di sebuah perusahaan konsultan internasional pada awal 2016, titik-titik merah tiba-tiba muncul di layarnya, menunjukkan serangan massal.
Pada awalnya, timnya memutuskan bahwa serangan ini hanya kasus terisolasi yang tidak biasa, karena peretas menembus awan, dan bukan melalui perusahaan itu sendiri. Namun, kemudian mereka mulai bertemu dengan pola yang sama dengan pelanggan lain.
"Ketika Anda menyadari bahwa ada banyak kasus seperti itu - dan bahwa para penyerang benar-benar memahami apa yang mereka dapatkan akses dan bagaimana cara melecehkannya - Anda memahami keseriusan konsekuensi yang mungkin terjadi," kata McConkie. Dia tidak menyebutkan nama perusahaan atau penyedia tertentu.
Tim McConkie - satu kelompok mematikan akses ke orang jahat, yang lain mengumpulkan informasi tentang penetrasi dan mengevaluasi di mana peretas masih bisa pergi - bekerja di lantai yang aman, yang dapat diakses hanya pada lift individu.
Chris McConkieMereka mengetahui bahwa peretas bekerja dalam tim. Tim Selasa, sebagaimana McConkie menyebutnya, mengunjungi layanan untuk memastikan semua nama pengguna yang dicuri dan kata sandi mereka masih berfungsi. Kelompok lain sering muncul setelah beberapa hari, dan mencuri data target.
Kadang-kadang peretas menggunakan jaringan korban sebagai situs penyimpanan untuk data yang dicuri. Satu perusahaan kemudian menemukan bahwa ia menyimpan informasi dari setidaknya lima perusahaan yang berbeda.
Pada bulan-bulan awal pekerjaan, kelompok McConkie mulai berbagi informasi dengan perusahaan keamanan lainnya, yang juga mulai menemui hantu. Penyerang kadang-kadang menggoda pemburu dengan mendaftarkan nama domain untuk kampanye mereka seperti gostudyantivirus.com dan originalspies.com.
"Saya tidak hanya melihat kelompok APT China mengejek para peneliti dengan sangat agresif," kata Mike Maclellan, direktur penelitian keamanan di Secureworks. Dia menambahkan bahwa kadang-kadang APT10 sering memasukkan frasa ofensif dalam malware-nya.
Salah satu korban peretas yang paling signifikan adalah HPE, yang layanan cloud-nya untuk layanan bisnis melayani data dari ribuan perusahaan dari puluhan negara. Salah satu kliennya, Philips, mengelola 20.000 TB data, termasuk sejumlah besar informasi yang berkaitan dengan peneliti klinis dan data aplikasi untuk penderita diabetes, sebagaimana ditunjukkan dalam video iklan yang diterbitkan di Twitter HPE pada 2016.
APT10 telah menjadi masalah serius bagi HPE sejak setidaknya 2014 - dan perusahaan tidak selalu memberi tahu pelanggan tingkat keparahan masalah dengan cloud-nya, menurut orang yang akrab dengan topik ini.
Kabinet server di HP Enterprise di Boeblingen, Jerman.Yang lebih rumit, peretas memperoleh akses ke tim perusahaan yang bertanggung jawab untuk melaporkan insiden dunia maya, seperti yang dikatakan beberapa orang yang akrab dengan kasus ini. Ketika HPE bekerja untuk membersihkan infeksi, peretas memantau perusahaan dan memasuki sistem yang dibersihkan, memulai siklus baru, seperti yang dikatakan oleh salah satu orang.
"Kami bekerja dengan rajin untuk menghilangkan konsekuensi dari invasi sampai kami yakin bahwa kami benar-benar menghilangkan jejak kerupuk dalam sistem," kata Bauer, juru bicara HPE.
Dalam prosesnya, HPE memimpin divisi cloud menjadi perusahaan terpisah, DXC Technology. HPE melaporkan dalam catatan publik waktu itu bahwa ia tidak memiliki lubang keamanan yang akan memerlukan biaya material.
Juru bicara DXC Richard Adamonis mengatakan bahwa "tidak ada insiden keamanan cyber yang akan berdampak buruk pada aset nyata DXC atau pelanggannya."
Seorang juru bicara Philips mengatakan layanan yang disediakan oleh HPE "tidak terkait dengan penyimpanan, manajemen, atau transfer data pasien."
Menolak
Respons serius pertama mulai terbentuk pada tahun 2017. Tim pejuang yang semakin berkembang telah bergabung dengan beberapa perusahaan keamanan, penyedia cloud yang terkena dampak serangan, dan puluhan korban.
Perusahaan-perusahaan cloud, yang pada awalnya menolak untuk berbagi informasi, berubah pikiran dan mulai bekerja sama setelah didesak oleh pemerintah Barat, sebagaimana dikatakan beberapa orang yang mengetahui situasi tersebut.
Sebagai permulaan, para peneliti menambahkan entri palsu ke kalender eksekutif perusahaan dalam sistem korban sehingga peretas akan memiliki kesan yang salah bahwa eksekutif akan pergi untuk akhir pekan. Ini dilakukan agar peretas percaya bahwa perusahaan tidak mencurigai apa pun. Kemudian para peneliti tiba-tiba terhubung ke sistem di luar periode kerja biasa hacker dan secara tajam memotong akses mereka dengan menutup akun yang dikompromikan dan mengisolasi server yang terinfeksi.
APT10 segera kembali, menyerang korban baru, termasuk beberapa perusahaan keuangan.
Salah satu tujuan baru adalah IBM, yang menawarkan layanan cloud untuk banyak perusahaan Fortune 500, serta untuk lembaga pemerintah AS seperti Kantor Layanan Umum, Departemen Dalam Negeri, dan Angkatan Darat.
Stan IBM di pameran CeBIT di Hanover, Jerman, 2018.Seorang juru bicara manajemen layanan umum mengatakan agen tersebut bekerja dengan beberapa perusahaan cloud, tahu tentang Cloud Hopper, dan "dengan hati-hati menangani ancaman keamanan." Departemen Dalam Negeri AS dan Angkatan Darat AS tidak mengomentari situasi tersebut.
Sangat sedikit yang diketahui tentang apa yang terjadi di IBM. Peretas belajar bersembunyi lebih baik dan mengarahkan kembali serangan mereka melalui rantai beberapa server. Pejabat A.S. menggambarkan perasaan panik yang menyita mereka pada tahun 2017 dan 2018, ketika mereka mengetahui tentang peretasan baru yang dilakukan oleh APT10. Situasi menjadi sangat kritis sehingga mereka harus mengeluarkan peringatan publik bahwa peretas telah menyusup ke infrastruktur terpenting negara itu, termasuk TI, energi, kesehatan dan manufaktur.
Administrasi Trump telah merenungkan selama beberapa bulan seperti apa kasus peretas akan terlihat, apa yang bisa diberitahukan kepada publik, dan bagaimana ini akan mempengaruhi pertukaran. Mantan pejabat AS yang akrab dengan penelitian itu mengatakan mereka awalnya berharap untuk menjatuhkan sanksi terhadap China terkait dengan serangan itu, dan menyebutkan setengah lusin warga Tiongkok, termasuk beberapa orang Cina yang terkait langsung dengan intelijen negara.
Akibatnya, hanya dua orang yang disebutkan. Informan yang dekat mengatakan bahwa operasi seperti Cloud Hopper membutuhkan sebanyak mungkin orang, termasuk pengembang, operator penetrasi dan ahli bahasa untuk bekerja dengan bahan curian.
Dari keduanya, ada sedikit informasi tentang Zhu Hua, yang dikenal online sebagai Godkiller. Para peneliti menghubungkan orang lain, Zhang Shilong, yang dikenal sebagai Darling Dragon, dengan akun media sosial, yang memposting instruksi tentang cara belajar meretas.
Keduanya, kemungkinan besar, masih di Tiongkok, dan dapat berakhir di penjara AS hingga 27 tahun karena konspirasi, penipuan, dan pencurian identitas. Tetapi Amerika Serikat tidak memiliki perjanjian ekstradisi dengan China, dan editor WSJ tidak dapat menghubungi mereka untuk menerima komentar.
Seorang mantan pejabat intelijen AS mengatakan bahwa menurut data yang ditangkap oleh mereka pada saat itu, operator China merayakan ketenaran dan ketenaran mereka yang mendadak.
Saat ini, sedikit yang diketahui tentang rencana untuk menggunakan data curian. Tidak seperti serangan lainnya, iklan untuk penjualan pegunungan ini dari data komersial yang berharga tidak muncul di Internet bayangan.
Serangan Cloud Hopper masih sangat menarik bagi para peneliti federal yang bekerja pada masalah apakah kampanye ini terkait dengan kasus-kasus penetrasi signifikan ke dalam infrastruktur perusahaan, di mana orang Cina juga dicurigai.
Angka akhir kampanye - baik volume akses ke jaringan dan jumlah pasti data yang dicuri - masih belum diketahui oleh para peneliti atau pihak berwenang Barat.
Meskipun pejabat AS dan perusahaan keamanan mengatakan aktivitas APT10 telah menurun dari tahun sebelumnya, ancaman terhadap penyedia cloud tetap sama. Peneliti Google baru-baru ini melaporkan bahwa peretas, yang seharusnya didanai oleh pemerintah Rusia, mencoba meretas penyedia layanan kendali jarak jauh, yang juga dipilih penyerang sebagai sasaran mereka.
"Saya akan terkejut mengetahui bahwa hari ini Anda tidak dapat menemukan lusinan perusahaan yang tidak curiga bahwa APT10 telah meretas ke dalam jaringan mereka atau masih memiliki akses ke sana," kata Luke Demboski, mantan wakil asisten jaksa penuntut untuk keamanan nasional, sekarang bekerja dengan perusahaan yang telah diserang oleh berbagai kelompok, termasuk APT10.
โSatu-satunya pertanyaan adalah apa yang mereka lakukan di sana? Kata McConkie. "Mereka belum pergi ke mana-mana." Hanya apa yang mereka lakukan saat ini, kita tidak melihat. "