Cyberthreat.id – Peretas (hacker) berjuluk Mr. Kro0oz.305 melakukan serangan siber massal ke sejumlah situs web jurnal online yang dimiliki oleh kementerian/lembaga dan pemerintah daerah.

Hampir semua situs web yang diserangnya menampilkan gambar kartun anime dengan tulisan: “Hacked By Mr. Kro0oz.305” dan “BB:2B9807C4 Arabi for Ever”.

Mr. Kro0oz rupanya sangat aktif melakukan serangan siber ke sejumlah situs web dalam negeri maupun luar negeri.

Sepanjang Juli 2021, misalnya, catatan peretasan yang ia tampilkan di zone-h.org, portal untuk mendokumentasikan hasil defacement web, Mr. Kro0oz telah merusak 10 situs web. (Lihat daftar di akhir artikel)

Situs web yang terakhir ia serang dan diunggah ke portal tersebut ialah jurnal online “Atavisme” milik Kementerian Pendidikan dan Kebudayaan (https://atavisme.kemdikbud.go.id)

Sebelumnya, ia merusak jurnal online Masyarakat Telematika dan Informasi (https://www.mti.kominfo.go.id). Mr. Kro0oz mengunggah hasil serangan situs web ini pada 5 Juli 2021—hampir sebulan jurnal milik Kementerian Komunikasi dan Informatika ini disusupi peretas.

Analisis

Dari sejumlah serangan itu, Cyberthreat.id mengambil satu sampel untuk dianalisis, yaitu jurnal MTI. Peneliti keamanan siber independen, Fauzan Wijaya, saat dimintai tanggapan atas serangan portal tersebut, mengemukakan, kerentanan yang terdapat situs web tersebut bisa dimanfaatkan penyerang untuk mengunggah atau menanam file sewenang-wenang (arbitrary file upload).

Dengan kondisi seperti itu, perangkat lunak jahat (malware) bisa diunggah ke situs web tersebut, tapi ini kembali lagi pada kondisi server-nya.

“Jadi, ada kemungkinan server bisa disusupi file ‘pintu belakang’ (backdoor), lalu penyerang bisa melompat ke mesin dengan cara mengidentifikasi sistem operasi,” ujar Fauzan, Jumat (30 Juli 2021).

Setelah mengetahui sistem operasi mesin yang ditargetkan, misal Windows, penyerang bisa mengunggah banking botnet, lalu menyalakan ulang  file executable via eksekusi kode secara jarak jauh (remote code execution/RCE) dengan memanfaatkan backdoor yang ditanam sebelumnya, ujar dia.

Di dunia programming, “pintu belakang” sebetulnya bukanlah peranti lunak jahat, tapi sering disalahgunakan untuk peretasan. Peranti lunak ini biasa dipakai programmer untuk mengakses sistem, aplikasi, atau jaringan tanpa harus proses autentikasi. Dan, memang dipakai untuk masuk ke sistem jika programmer ingin memperbaiki masalah (bug).

Sayangnya, “pintu belakang” kemudian disalahgunakan oleh penyerang untuk masuk ke sistem sistem atau program yang ditargetkan, lalu dipakai untuk menanam malware.

Menurut Fauzan, dari portal MTI ditemukan sebuah kejanggalan pada file yang dipamerkan oleh peretas karena berupa file gambar GIF. Dalam beberapa kasus, sebetulnya ini hal wajar terjadi karena adanya fitur unggah gambar ketika akan membuat gambar; apalagi situs web ini memang untuk publikasi jurnal

Namun, dalam analisis lebih lanjut, ia ternyata menemukan “JBImages”, sebuah plugin yang berfungsi untuk mengunggah gambar.

Sejak 2018, Fauzan telah mengamati ada banyak peretas yang memanfaatkan kerentanan situs web seperti yang dimiliki MTI tersebut. Kerentanan ini kemudian dieksploitasi untuk menggunggah gambar bertuliskan “Hacked By”. “Padahal jika diteliti lagi, ini bukanlah sebuah peretasan (hacking),” ujar dia.

Pendek kata, peretas tidak benar-benar menyerang secara teknis, tapi mendapati adanya plugin “JBImages”, lalu dipakai mengunggah foto bertuliskan “Hacked By”, seolah-olah peretas baru saja menyerangnya.

Apakah berbahaya?

Fauzan mengatakan dalam temuan di portal MTI memang penyerang tampaknya tak bisa mendapatkan akses penuh ke server. Namun, kondisi tersebut bisa berdampak pada pemborosan penyimpanan (storage) lantaran serangan pengunggahan permintaan secara massal atau dikenal dengan istilah DDoS Post-Method.

Fauzan tidak bisa memastikan dengan kuat sumber kesalahan yang terjadi di situs web MTI tersebut. “Karena di satu sisi plugin tersebut sengaja dibuat untuk mengunggah dan menyimpan gambar pada server,” kata dia.

Bagaimana mitigasinya?

Ia menuturkan untuk ancaman serangan DDoS, maka administrator situs web disarankan untuk memberikan CAPTCHA sehingga yang dapat berinteraksi dengan server web tersebut hanyalah komputer klien, bukan bot.

“Sedangkan, untuk memitigasi serangan arbitrary file upload (AFU) bisa ditambahkan filter pada ekstensi dan pengecekan sumber kode pada gambar yang diunggah apakah mengandung malicious code atau tidak,” kata Fauzan.

Untuk memperbariki kerusakan situs web tersebut, menurut dia, untuk pengembang sekelas Kementerian Kominfo tidak butuh waktu lama. Kemungkinan mereka hanya butuh waktu sekitar 1,5 jam untuk menambahkan fitur CAPTCHA serta filter pada file yang diunggah pengguna.[]

Daftar situs web jurnal online kementerian/lembaga dan pemda yang diserang Mr. Kro0oz:

1. Jurnal MTI Kementerian Kominfo (https://mti.kominfo.go.id/public/site/images/krz/krz.gif)
2. Jurnal Atavisme Kemendikbud (https://atavisme.kemdikbud.go.id/public/site/images/dfs/krz.gif)
3. Jurnal Metalurgi (https://ejurnalmaterialmetalurgi.lipi.go.id/public/site/images/sdf/krz.gif)
4. Jurnal Ideguru Dinas Pendidikan, Pemuda, dan Olahraga Pemprov DIY (https://jurnal-dikpora.jogjaprov.go.id/public/site/images/kr/kr.gif)
5. Jurnal BPPK Kementerian Keuangan (https://jurnal.bppk.kemenkeu.go.id/public/site/images/krz88/by.gif)
6. Jurnal Pembangunan Perkotaan Pemkot Medan (http://ejpp.balitbang.pemkomedan.go.id/public/site/images/krz88/by.gif)
7. Jurnal  Kebijakan Pembangunan Daerah Bappeda Provinsi Banten (http://ejournal.bappeda.bantenprov.go.id/public/site/images/krz88/by.gif)
8. Jurnal Kementerian Perdagangan (http://jurnal.kemendag.go.id/public/site/images/krz88/by.gif) – unggahan tidak ditemukan saat tautan ini diklik.
9. Jurnal Harmoni Kementerian Agama (https://jurnalharmoni.kemenag.go.id/public/site/images/kr/krz.gif)
10. Jurnal OJS Bappeda Pemprov Aceh (https://ojsbappeda.acehprov.go.id/ojs2/public/site/images/krz/krz.gif)