Bendera China | Foto: asiasociety.org
Bendera China | Foto: asiasociety.org
Cyberthreat–Pemerintah Amerika Serikat dan sekutunya secara resmi menuding peretas China di balik serangan siber ke perangkat lunak Microsoft Exchange Server pada Maret 2021.
Pernyataan bersama itu diutarakan oleh AS, Uni Eropa, NATO dan lima sekutu dekatnya pada Senin (19 Juli 2021). Dalam pernyataan tersebut, tulis Politico, tidak disertai dengan sanksi atau pembalasan secara publik.
Pejabat intelijen menyimpulkan bahwa Kementerian Keamanan Negara China “menggunakan peretas kriminal yang disewa untuk melakukan operasi dunia maya secara global, termasuk untuk keuntungan pribadi mereka sendiri,” ujar pejabat kepada wartawan, Minggu (18 Juli).
Menurut sumber pejabat itu, bandit siber teridentifikasi menanam perangkat lunak di komputer korban yang secara diam-diam menambang cryptocurrency (disebut dengan cryptomining). Dalam kasus lain, peretas tersebut juga menginfeksi perusahaan dengan ransomware dan meminta uang tebusan jutaan dolar, kata sumber yang berbicara secara anonim sesuai kebijakan pemerintah AS.
"Pemanfaatan peretas kriminal yang disewa ... benar-benar membuka mata dan mengejutkan bagi kami," kata pejabat senior itu.
Berbarengan dengan pernyataan itu, FBI, NSA, dan CISA juga merilis laporan yang mengungkap lebih dari 50 taktik dan teknik yang terkait dengan peretas pemerintah China.
Dalam empat setengah bulan sejak Microsoft mengungkapkan peretasan Exchange Server, beberapa pakar dunia maya bertanya-tanya mengapa AS butuh waktu lama untuk menyalahkan China, padahal pakar keamanan swasta telah mengeluarkan temuannya dengan cepat.
Pejabat itu menjawab penundaan pengumuman berkaitan ruang lingkup penyusupan, untuk sepenuhnya memahami peran China, dan butuh merekrut sekutu dalam pernyataan bersama.
"Serangan siber di Microsoft Exchange Server oleh kelompok yang didukung negara China begitu ugal-ugalan, tapi pola perilakunya lazim dikenal," kata Menteri Luar Negeri Inggris Dominic Raab dalam sebuah pernyataan, dikutip dari Reuters.
"Pemerintah China harus mengakhiri sabotase siber sistematis ini dan dapat dimintai pertanggungjawaban jika memang tidak melakukannya,” ujar dia.
Ia menambahkan Inggris dan sekutunya mengaitkan Kementerian Keamanan Negara China sebagai di belakang kelompok peretasan yang dikenal oleh pakar keamanan sebagai "APT40" dan "APT31".
Sebenarnya bagaimana kasus ini bermula? Berikut rangkuman informasinya, seperti dikutip dari ZDNet, diakses Selasa (9 Maret 2021).
Microsoft mengatakan, serangan itu berawal dari empat kerentanan zero-day (yang tidak diketahui dan belum ditambal) pada Exchange Server. Raksasa teknologi tersebut mengklaim telah mengetahui kerentanan itu awal Januari 2021.
Peneliti keamanan siber berjuluk “DEVCORE” yang menemukan dua kerentanan itu melapor ke Microsoft pada 5 Januari.
Menurut perusahaan keamanan siber AS, Volexity, eksploitasi aktif empat kerentanan itu kemungkinan besar telah dimulai sejak 6 Januari. Dubex, perusahaan keamanan siber Denmark, juga melaporkan aktivitas mencurigakan di Exchange Server pada bulan yang sama.
Pada 2 Maret, Microsoft merilis tambalan keamanan untuk mengatasi empat kerentanan kritis tersebut. Microsoft kala itu mengatakan, bug tersebut secara aktif dieksploitasi oleh peretas dalam serangan terbatas dan bertarget.
Perlu diketahui, Exchange Server populer dipakai untuk mengelola email. Penggunanya perusahaan besar hingga bisnis kecil di hampir seluruh dunia.
Meski perbaikan dikeluarkan, potensi serangan pada Exchange Server bergantung pada kecepatan dan penggunaan patch. Dan, kemungkinan jumlah korban terus bertambah.
Kerentanan tersebut mempengaruhi Exchanger Server 2013, Exchange Server 2016, dan Exchange Server 2019. Sementara, Exchange Online tidak terpengaruh. Empat kerentanan itu dilabeli CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065.
CVE-2021-26855 adalah kerentanan pemalsuan permintaan sisi server (SSRF) di Exchange yang memungkinkan penyerang mengirim permintaan HTTP sewenang-wenang dan mengautentikasi sebagai peladen Exchange.
CVE-2021-26857 adalah kerentanan deserialisasi tidak aman di layanan Unified Messaging. Deserialisasi yang tidak aman adalah saat data yang dapat dikontrol pengguna yang tidak tepercaya dideserialisasi oleh program. Memanfaatkan kerentanan ini memberi peretas kemampuan untuk menjalankan kode sebagai sistem di peladen Exchange. Ini membutuhkan izin administrator atau kerentanan lain untuk dieksploitasi.
CVE-2021-26858 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika peretas dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.
CVE-2021-27065 adalah kerentanan penulisan file arbitrer pasca-otentikasi di Exchange. Jika peretas dapat mengautentikasi dengan peladen Exchange, mereka dapat menggunakan kerentanan ini untuk menulis file ke jalur mana pun di server. Mereka dapat mengautentikasi dengan mengeksploitasi kerentanan CVE-2021-26855 SSRF atau dengan mengorbankan kredensial admin yang sah.
Jika digunakan dalam rantai serangan, semua kerentanan itu dapat menyebabkan remote code execution (RCE) alias mengeksekusi kode-kode perintah secara jarak jauh, pembajakan server, menanam pintu belakang, pencurian data, dan kemungkinan penyebaran malware lebih luas.
Pendek kata, menurut Microsoft, peretas bisa mengamankan akses ke peladen Exchange baik melalui empat bug tersebut atau kredensial yang dicuri, kemudian mereka membuat web shell untuk membajak sistem dan menjalankan perintah dari jarak jauh.
Web shell adalah sejenis teks perintah yang bisa digunakan untuk mengakses ke dalam sistem dengan mengeksekusi program tertentu.
Microsoft menjuluki serangan itu sebagai “bagian dari rantai serangan”. Bagian lain dari rantai serangan itu dapat dipicu lagi jika peretas sudah memiliki akses atau dapat meyakinkan administrator untuk menjalankan file berbahaya.
Microsoft telah mengarahkan telunjuknya ke kelompok peretas yang diduga mendapatkan dukungan dari China, tapi beroperasi di luar negara tersebut. Kelompok itu bernama “Hafnium”. (Baca: Microsoft Sebut Peretas China Targetkan Server Perangkat Lunaknya)
Meskipun Hafnium berasal dari China, grup tersebut menggunakan web server pribadi virtual (VPS) yang berlokasi di AS untuk mencoba dan menyembunyikan lokasi aslinya. Entitas yang sebelumnya ditargetkan oleh grup ini termasuk lembaga think tank, organisasi nirlaba, produsen alat-alat pertahanan, universitas, dan peneliti penyakit menular.
Ketika kerentanan zero-day terungkap pada perangkat lunak populer, ancaman siber begitu luas potensial terjadi. Terlebih, faktor kesigapan dari setiap institusi juga sangat mempengaruhi. Meski Microsoft telah mengeluarkan pembaruan atau tambalan kerentanan, sementara institusi itu tak kunjung merespons, ancaman sangat terbuka dan peretas bisa mengeksploitasinya.
Bahkan, kerentanan itu bisa menjadi tujuan penyebaran ransomware.
Sejauh ini, menurut pakar keamanan siber Brian Krebs, jumlah korban sekitar 30.000 organisasi, hanya di AS. Sementara, laporan Bloomberg pada 8 Maret lalu mencapai 60.000 organisasi.
Otoritas Perbankan Eropa menjadi korban terbaru meski lembaga tersebut mengklaim tidak ada indikasi pelanggaran data. 'Cek kumpulan beritanya di sini.
Microsoft mendesak agar admin TI tiap-tiap organisasi yang memakai Exchange Server segera menginstal pembaruan. Panduan mitigasi sementara juga telah dikeluarkan. Microsoft juga telayh mengeluarkan skrip di GitHub yang bisa membantu admin TI mendeteksi kerentanan. Skrip itu menyertakan indikator peretasan (IOC), bisa cek di sini.
Per 8 Maret, Microsoft mengeluarkan sekumpulan pembaruan keamanan tambahan.[]
Share:
