Agen siber FBI AS: Salt Typhoon meretas hampir semua warga Amerika

 (theregister.com)
1 poin oleh GN⁺ 2025-09-01 | 1 komentar | Bagikan ke WhatsApp
  • Kelompok peretas Salt Typhoon menyusupi jaringan telekomunikasi AS selama bertahun-tahun dan mengumpulkan informasi sensitif milik jutaan orang dalam skala besar
  • Serangan ini merupakan aktivitas spionase dengan skala yang belum pernah terjadi sebelumnya, menargetkan warga Amerika secara membabi buta
  • Perusahaan pendukung Salt Typhoon yang berafiliasi dengan pemerintah Tiongkok telah membobol lebih dari 80 negara, dan sekitar 200 organisasi AS terdampak
  • Akibat serangan ini, terjadi pelacakan lokasi jutaan pengguna ponsel, pemantauan lalu lintas internet, hingga penyadapan sebagian panggilan telepon
  • FBI memperingatkan bahwa ancaman siber yang lebih canggih akan terus meningkat ke depan, dan menekankan perlunya penguatan keamanan

Gambaran kampanye spionase Salt Typhoon

  • Salt Typhoon, kelompok peretas yang didukung pemerintah Tiongkok, dipastikan oleh FBI AS telah menyusupi jaringan telekomunikasi besar di Amerika selama bertahun-tahun dan mengumpulkan data pribadi dalam jumlah besar dari banyak warga Amerika
  • Wakil direktur siber FBI Michael Machtinger menyebut dalam wawancara dengan media bahwa ada kemungkinan serangan spionase ini mencuri informasi milik hampir semua warga Amerika
  • Sebelumnya ada anggapan bahwa orang yang tidak memiliki informasi sensitif tidak akan menjadi target, tetapi kasus Salt Typhoon menunjukkan bahwa siapa pun bisa menjadi sasaran serangan siber

Cakupan serangan dan pihak di baliknya

  • Aktivitas spionase siber Salt Typhoon dimulai setidaknya sejak 2019 dan ditemukan oleh pemerintah AS pada musim gugur 2023
  • Selain AS, lembaga pemerintah dari 12 negara juga mengeluarkan peringatan bersama mengenai tingkat keparahan serangan ini
  • Cakupan intrusi meluas dari 9 operator telekomunikasi utama di AS dan jaringan pemerintah hingga lembaga-lembaga di lebih dari 80 negara
  • Sekitar 200 organisasi AS terdampak, termasuk operator besar seperti Verizon dan AT&T
  • Perusahaan yang ditunjuk sebagai pihak di baliknya antara lain Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology, dan Sichuan Zhixin Ruijie Network Technology
    • Perusahaan-perusahaan ini menyediakan solusi siber bagi Kementerian Keamanan Negara Tiongkok dan Tentara Pembebasan Rakyat

Metode serangan dan jenis dampak

"Apa yang dilakukan Tiongkok melalui para proksi ini adalah tindakan serampangan dan berbahaya yang jauh melampaui tingkat umum dalam industri spionase siber"

  • Machtinger menilai insiden ini sebagai pelanggaran spionase siber berat yang belum pernah terjadi sebelumnya di AS
  • Salt Typhoon melakukan penargetan massal tanpa pandang bulu, menyadap informasi lokasi geografis jutaan pengguna ponsel, lalu lintas internet, bahkan isi sebagian percakapan telepon
  • Cakupan korban meliputi warga biasa maupun lebih dari 100 pejabat senior dari pemerintahan presiden saat ini dan sebelumnya
    • Sejumlah media melaporkan bahwa Presiden Donald Trump dan Wakil Presiden JD Vance juga menjadi target
  • Khusus pejabat tingkat tinggi, terjadi pencurian informasi pada level yang lebih dalam, termasuk intersepsi konten aktual

Ancaman siber serupa yang berasal dari Tiongkok

  • Selain Salt Typhoon, kelompok Volt Typhoon meretas ratusan router lawas untuk membangun botnet dan mengakses jaringan infrastruktur penting AS
    • Belakangan dipastikan bahwa tujuannya adalah mempersiapkan serangan siber destruktif
  • Kelompok Silk Typhoon selama lebih dari 10 tahun menyerang penyedia IT dan cloud, lalu mencuri data dari berbagai sektor seperti pemerintahan, teknologi, pendidikan, dan hukum

Ancaman siber global lainnya

  • Machtinger menyoroti bahwa selain Tiongkok, Rusia, Iran, Korea Utara, serta kelompok kejahatan siber dan ransomware di dalam maupun luar negeri juga terus melancarkan serangan setiap hari
  • Para pelaku seperti ini diperkirakan akan mengadopsi metode serangan yang semakin canggih
  • Ia menekankan perlunya langkah keamanan siber yang proaktif seperti meningkatkan kesadaran keamanan, memperbarui sistem, dan mengganti perangkat usang

Bacaan terkait

1 komentar

 
GN⁺ 2025-09-01
Opini Hacker News

  • Komunitas keamanan sudah lama memperingatkan bahwa jika penyadapan yang sah secara hukum (Lawful Access) dibuat mudah dan otomatis, pihak jahat pasti akan menyusup ke jaringan
    Sekarang yang terjadi adalah Tiongkok memanfaatkan sistem yang dilemahkan oleh CALEA untuk mengambil data jaringan seluruh AS
    Jika melihat kasus NSA yang pernah menyadap backbone Google, Room 641A, MAINWAY, Poindexter dan TIA, serta Palantir, AS juga bukan pengecualian
    NSA awalnya menjalankan peran pertahanan sekaligus serangan, tetapi selama beberapa dekade sudah berubah menjadi kelompok yang hanya fokus pada serangan, dan orang yang percaya bahwa hanya AS yang bisa melakukan hal seperti ini terlalu naif

    • Pintu yang memakai kunci hanya bisa dibuka oleh orang yang punya kuncinya...
      Tapi bahkan tanpa kunci pun ada banyak cara: mencongkel kunci, mengangkat pintu, melepas engsel, mendobrak pintu, lewat dari bawah atau atas pintu, atau menipu orang yang memegang kunci agar membukanya, dan masih banyak lagi kalau punya imajinasi

    • Saya penasaran secara praktik ditembusnya seperti apa
      Dugaan saya, entah vendor perangkat lunak yang mendukung CALEA yang dibobol, atau vendor Mediator Device yang dipakai oleh banyak operator telekomunikasi yang diserang
      MD (Mediator device) adalah perangkat lunak yang menangani penangkapan aliran data (permintaan wiretap) dan pengelolaan bukti pcap
      MD umumnya mengaktifkan port (r)span pada peralatan jaringan lewat polling SNMP, lalu menyerap dan menyimpan semua data
      Karena informasi teknisnya tidak banyak, saya penasaran vendor mana dan peralatan apa yang dibobol
      Untuk penjelasan rinci tentang LI (Lawful Intercept), lihat di sini

    • Banyak orang yang dulu bekerja di NSA sekarang justru bekerja untuk perusahaan keamanan swasta seperti NSO Group
      Melihat situasinya memang menakutkan, tapi kalau melihat besaran gaji yang mereka terima, saya pun mungkin akan tergoda jika mendapat tawaran yang sama
      Kalau ingin tahu cerita di balik layar dari lapangan, saya merekomendasikan buku Nicole Perlroth, 'This Is How They Tell Me the World Ends'
      Banyak kejadian lain memang sudah terjadi setelah buku itu terbit, tetapi itu tetap jadi referensi yang bagus untuk memahami dunia tersebut

    • Mungkin keputusan konyol ini terjadi karena orang-orang yang berkuasa lebih takut pada warga negaranya sendiri daripada ancaman dari luar

    • Mereka ini orang bodoh yang merasa punya keunggulan moral
      Bukan karena mereka lupa soal operasi ofensif, tetapi karena sejak awal mereka mungkin bahkan tidak tahu atau tidak peduli bahwa hal seperti itu pernah terjadi

  • Saya pernah menulis spesifikasi lawful intercept untuk node 3G GGSN
    Ini cerita lama, tetapi pada masa itu spesifikasinya memang dirancang agar tidak meninggalkan catatan penyadapan di sistem manajemen jaringan
    Jadi operator tidak akan tahu apakah sedang ada penyadapan, dan aparat penegak hukum bisa langsung mengeluarkan perintah penyadapan dari konsol LI
    Pada saat itu hingga 3% dari total trafik bisa disadap, dan itu termasuk kasus di mana bahkan operator pun tidak menyadari penyadapan tersebut terjadi
    Sistem lawful intercept bukan berarti mudah diretas, tetapi sekali berhasil ditembus, sangat sulit mendeteksi apakah sistem itu sedang disalahgunakan
    Itulah sebabnya sulit bagi siapa pun untuk yakin kapan dan bagaimana kompromi itu dimulai

    • Fakta bahwa operator jaringan sama sekali tidak bisa melihat log pemantauan untuk lawful intercept terlihat sangat berbahaya
      Rasanya kalau ada yang menyusup, tak seorang pun akan tahu

  • Inilah hasil nyata ketika backdoor pemerintah yang "wajib" dipasang ke infrastruktur jaringan
    Sulit dipercaya bahwa keamanan untuk infrastruktur sepenting ini bisa selemah itu
    Melihat peretasan OPM atau kegagalan CIA mengelola situs drop online, sekarang saya bahkan sudah tidak terkejut lagi dengan ketidakmampuan pemerintah dalam urusan keamanan

    • Saya serius sedang mempertimbangkan untuk tidak memakai nomor telepon sama sekali
      Keamanannya terlalu lemah, dan walaupun nomor telepon dipakai sebagai alat verifikasi identitas hampir seperti nomor jaminan sosial, sebenarnya kita tidak benar-benar wajib memilikinya

    • Penyerang tingkat negara yang paling canggih pada akhirnya bisa menembus hampir semua sistem bahkan tanpa backdoor, berkat kemampuan teknis, sumber daya, dan kegigihan mereka
      Jadi ini bukan semata-mata soal menyalahkan backdoor tanpa syarat; yang dibutuhkan adalah ketahanan siber yang lebih kuat dan kemampuan pertahanan yang lebih baik
      Tentang bagaimana AS seharusnya merespons sistem pengumpulan kerentanan yang dibangun Tiongkok di tingkat negara, laporan terbaru Atlantic Council layak dibaca
      Tautan laporan

    • Komputer tidak akan pernah bisa 100% aman, dan terutama pada level negara, akses fisik ke perangkat keras relatif mudah, jadi keamanan pada akhirnya adalah soal uang; nolnya terus bertambah

  • Dalam kasus Salt Typhoon, yang langka adalah meskipun kasusnya sudah diketahui secara luas pada 2024, sampai sekarang situasinya masih berlangsung dan belum sepenuhnya dikendalikan
    Kebanyakan insiden dibahas setelah kejadian agar pelajaran bisa dibagikan, tetapi kali ini jaringan tampaknya masih dikuasai penyerang dan data masih terus bocor
    Artikel terkait

  • Materi pengumuman resmi dari CISA bisa dilihat di sini

    • Katanya Doge dan MAGA memangkas 30% staf lembaga itu (CISA)
      Benar-benar timing yang pas sekali, memberhentikan para birokrat justru saat keamanan siber dan keamanan infrastruktur lebih penting dari sebelumnya
      Tautan artikel terkait

    • Tautan langsung ke advisory pemerintah: lihat di sini

  • Ada pernyataan bahwa “melalui tindakan seperti ini, Tiongkok bertindak serampangan dan berbahaya, melampaui batas praktik umum dalam dunia spionase”, dan saya jadi penasaran apa sebenarnya yang dimaksud dengan ‘standar’ dalam spionase

    • Kalau melihat badan intelijen AS yang mengumpulkan komunikasi global lewat PRISM, Upstream, dan lain-lain, sepertinya ‘standar’ di sini berarti selama ini hanya AS yang boleh melakukan hal seperti itu
      Sekarang Tiongkok sudah menjadi pesaing dengan level yang sama

    • Sepertinya yang dimaksud adalah ‘standar’ bahwa hanya pemerintah AS yang boleh melakukan penyadapan massal ilegal terhadap rakyatnya sendiri
      Reaksinya seperti, “berani sekali mereka melakukan ini?”

    • Tampaknya yang dibicarakan adalah ‘indiscriminate targeting’, yaitu menyerang tanpa pandang bulu
      Wakil direktur FBI untuk siber mengatakan, “Tiongkok kini telah membawa kita ke era di mana bahkan orang yang tidak bekerja di bidang sensitif pun tidak bisa yakin bahwa mereka bukan target”

    • Saya sendiri tidak pernah tahu kalau dunia mata-mata punya norma atau semacam buku aturan
      Saya pikir satu-satunya aturan adalah “jangan sampai ketahuan”
      Mungkin saja saya yang tidak tahu banyak

    • Pada akhirnya mungkin itu cuma aturan lunak yang ada di kepala orang-orang saja

  • Saya penasaran apakah ada sumber tepercaya lain selain pemerintah terkait laporan ini
    Kasus ini memang terdengar sangat mungkin terjadi, tetapi mengingat sejarah kebohongan yang terlalu banyak
    saya sulit mempercayainya hanya berdasarkan pernyataan pemerintah saat ini, dan sumber pihak ketiga yang tidak terlalu partisan akan terasa lebih meyakinkan

    • Verizon mengatakan bahwa tokoh politik tertentu memang menjadi sasaran
      Tautan terkait

    • Teman saya yang bekerja di bidang keamanan di Australia mengatakan bahwa Tiongkok pada dasarnya sudah memiliki hampir semua data AS

  • Pemerintah AS ke depannya tampaknya hanya akan terus memperluas pengawasan

  • Menurut Gedung Putih dan FBI, peretas Tiongkok menyerang secara membabi buta, melacak lokasi ponsel jutaan orang, memantau lalu lintas internet, dan dalam beberapa kasus bahkan merekam panggilan
    Korbannya termasuk mantan Presiden Donald Trump dan Wakil Presiden JD Vance
    Saya sempat membayangkan pengawasan ini dilakukan dengan terhubung langsung ke BTS atau infrastruktur, tetapi setelah melihat halaman Wikipedia, tampaknya jalur sebenarnya adalah peretasan server
    Saya jadi penasaran apakah yang diretas itu server seperti milik AT&T
    Saya juga bertanya-tanya apakah ada cara agar data saya tidak ikut dicuri dalam kasus seperti ini
    Bahkan jika memakai VPN, kalau lokasi bisa didapat lewat triangulasi, rasanya tidak ada solusi selain mematikan ponsel sepenuhnya
    Sumber - metodologi Salt Typhoon

    • Dalam kasus seperti ini, satu-satunya cara agar data saya tidak terlalu banyak diambil adalah jangan pernah memakai nomor telepon untuk apa pun, lalu gunakan SIM hanya untuk data dan sering ganti/rotasi SIM tersebut

    • Ini mengingatkan lagi bahwa regulasi soal penjualan/perantara data seperti GDPR setidaknya membantu mencegah skenario terburuk
      Dalam peretasan kali ini sumber datanya memang tampaknya berasal dari pihak yang diretas
      Tetapi struktur industrinya sendiri sudah bermasalah, karena sebagian besar data sebenarnya sudah bisa dibeli secara legal di ‘pasar yang bukan abu-abu’
      Pernah ada jurnalis yang membeli data lokasi publik lalu memakainya untuk menemukan pegawai badan intelijen
      Bahkan jika penjualannya dikurangi pun, selama data tetap disimpan di tempat yang mudah diretas, keterbatasannya tetap ada

    • Ada bagian yang menyebut Presiden Trump dan Wakil Presiden JD Vance juga termasuk korban
      Akan lucu kalau jurnalisnya mencoba meminta komentar dari Angela Merkel

  • Terkait ini, ada juga artikel bahwa Israel ikut terlibat dalam penyadapan telekomunikasi AS
    Pemerintah Israel juga berada dalam posisi yang memungkinkan akses ke jaringan AS dengan metode yang sama