Kelompok peretas terkemuka Tiongkok StormBamboo (atau dikenal juga sebagai StormCloud atau Evasive Panda) berhasil membobol ISP dan beberapa perangkat MacOS dan Windows di jaringan tersebut, menurut laporan organisasi keamanan siber VoleksitasSecara spesifik, protokol tidak aman seperti HTTP dibajak untuk mengubah respons kueri DNS dan melengkapi pembaruan perangkat lunak otomatis yang dimaksud dengan MACMA (malware yang menargetkan MacOS) dan MGBot/POCOSTICK (malware yang menargetkan Windows), serta pemasangan ekstensi Google Chrome berbahaya berikutnya.
Ini adalah inti dari serangan dan bagaimana hal itu terjadi, tetapi apa yang lebih penting dari cerita ini? Salah satu bagian penting dari teka-teki ini adalah mengenali betapa tidak amannya komunikasi jaringan yang tidak dienkripsi, terutama saat digunakan dalam infrastruktur utama. Meskipun enkripsi itu sendiri tidak menjamin keamanan, enkripsi jauh lebih baik daripada tidak sama sekali. Menggunakan HTTP dasar alih-alih HTTPS tidak akan berbahaya bagi sebagian besar pengguna, tetapi dalam kasus ini, hal itu menjadi sangat penting dan memberikan penyerang kendali penuh atas infrastruktur ISP yang terdampak untuk menyerang target hilir yang dimaksud.
Setelah perangkat diretas, bahkan perangkat lunak dan proses yang dianggap aman — seperti peramban Google Chrome yang terkemuka di pasaran — dapat secara efektif diracuni terhadap pengguna tanpa jalan keluar nyata di pihak target akhir, terutama jika mereka bahkan tidak menyadari bahwa ada sesuatu yang salah. Ekstensi berbahaya yang digunakan di sini disebut RELOADEXT, yang memodifikasi berkas “Secure Preferences” untuk memungkinkan kuki peramban (termasuk info yang aman) dikirim ke pihak ketiga, yang sekarang dienkripsi oleh penyerang.
Serangan seperti ini juga menunjukkan bahaya yang melekat yang disebabkan oleh proses otomatis, khususnya proses otomatis yang tidak aman. Tidak cukup hanya memiliki infrastruktur untuk pembaruan perangkat lunak otomatis, atau cukup dengan memverifikasi bahwa pembaruan perangkat lunak otomatis tersebut (tampaknya) berfungsi.
Seperti yang dibuktikan oleh StormBamboo, infrastruktur otomatis masih dapat berfungsi sebagaimana mestinya saat dibajak untuk memberikan lebih dari sekadar tugas pembaruan perangkat lunak yang dimaksud. Meskipun ini tidak berarti pembaruan perangkat lunak otomatis pada dasarnya merupakan buruk hal tersebut menunjukkan bahwa kegagalan dalam mengamankan proses ini merupakan kelalaian yang sangat fatal, khususnya saat menghubungkan infrastruktur kunci (seperti ISP) ke hilir yang mana beberapa target yang diamankan dapat terancam.
Dalam tinjauan awal Volexity tentang pelanggaran ini, tampaknya firewall organisasi korban telah dibobol. Sebagian besar orang akan berasumsi bahwa pelanggaran seperti ini, sampai batas tertentu, merupakan “kesalahan” (atau setidaknya kesalahan yang tidak disengaja) dari organisasi korban yang dimaksud. Sebaliknya, dengan meracuni DNS ISP yang melayani target, StormBamboo secara efektif mampu membahayakan target tanpa perlu mengandalkan kesalahan pengguna akhir, seperti yang telah dilakukannya dalam serangan sebelumnya.