Cyberthreat.id – Pakar keamanan siber Brian Krebs dikaitkan dengan serangkaian serangan siber terkait kerentanan Microsoft Exchange Server. Namun, pengelola situs web KrebsOnSecurity itu membantahnya.

Isu itu muncul pertama sejak laporan baru Shadowserver Foundation, sebuah organisasi nirlaba yang menyediakan bantuan mengidentifikasi dan memperbaiki ancaman keamanan, yang dirilis pada 24 Maret lalu.

Shadowserver mengatakan, telah menemukan 21.248 peladen Exchange berbeda yang terindikasi telah disusupi oleh “pintu belakang” (backdoor) dan menjalin komunikasi dengan brian[.]krebsonsecurity[.]top (bukan domain yang aman).

“Motivasi penjahat siber di balik domain krebsonsecurity[.]top tidak jelas, tetapi domain itu sendiri, baru-baru ini, terkait dengan kejahatan siber lainnya,” kata Krebs seperti dikutip dari ZDNet, diakses Selasa (30 Maret 2021).

Brian Krebs bukanlah nama asing di dunia keamanan siber. Ia dikenal dekat dengan tokoh-tokoh di dunia kriminal siber.

“Ini bukan pertama kalinya malware atau malcontents menyalahgunakan nama, kemiripan, dan merek dagan situs web saya sebagai meme kejahatan siber, untuk menjelekkan atau merusak reputasi saya,” kata dia di situs webnya. Ia pun mencontohkan sejumlah meme yang mencatut namanya terkait kejahatan siber—klik di sini.

David Watson, Direktur Shadowserver Foundation Europe, mengatakan, bahwa lembaganya mengawasi ratusan varian unik dari “pintu belakang” (aka “web shells”) yang digunakan oleh berbagai kelompok penjahat siber di seluruh dunia untuk menyerang peladen Exchange yang belum diperbaiki.

“Pintu belakang” itu memberi kemampuan penyerang untuk mengendalikan secara jarak jauh peladen Exchange.

Pada 26 Maret, Shadwoserver melihat ada upaya pemasangan jenis “pintu belakang” baru di peladen Exchange yang terinfeksi, dengan setiap host yang diretas, terinstal “pintu belakang” di tempat yang sama: “/owa/auth/babydraco.aspx”. “Owa” mengacu pada Outlook Web Access, bagian dari peladen Exchange lokal yang menghadap ke web.

“Jalur web shell yang dijatuhkan adalah hal baru bagi kami,” kata Watson.

“Kami telah menguji 367 web shell yang dikenal melalui pemindaian peladen Exchange.”

Sistem honeypots Shadowserver melihat banyak host dengan “pintu belakang” Babydraco melakukan hal yang sama: menjalankan skrip Microsoft Powershell yang mengambil file "krebsonsecurity.exe" dari alamat IP 159.65.136 [.] 128.

“Anehnya, tidak satu pun dari beberapa lusin alat antivirus yang tersedia untuk memindai file di Virustotal.com saat ini mendeteksinya sebagai file berbahaya,” tulis Krebs.

File “Krebsonsecurity” juga menginstal sertifikat root, mengubah registri sistem, dan memberi tahu Windows Defender untuk tidak memindai file.

Menurut Watson, seperti dikutip oleh Krebs, file “Krebsonsecurity” akan mencoba membuka koneksi terenkripsi antara peladen Exchange dengan alamat IP 159.65.136 [.] 128 dan mengirimkan sejumlah kecil lalu lintas setiap menit.

Shadowserver menemukan lebih dari 21.000 sistem Exchange Server yang menginstal Babydraco. Namun, Watson mengatakan mereka tidak tahu berapa banyak dari sistem tersebut yang juga menjalankan unduhan sekunder dari domain jahat “Krebsonsecurity”.

Ada ratusan ribu sistem Exchange Server di seluruh dunia yang rentan terhadap serangan (Microsoft menuturkan jumlahnya sekitar 400.000), dan sebagian besar telah ditambal selama beberapa minggu terakhir.

Namun, masih ada puluhan ribu peladen Exchange yang rentan terekspos secara online. Pada 25 Maret, Shadowserver mentweet bahwa mereka melacak 73.927 jalur web shell aktif yang unik di 13.803 alamat IP.[]