Cyberthreat.id – Polri menahan dua remaja asal Kota Padang, Sumatera Barat, berinisial BS alias Zyy (18) dan ML alias LF (17) yang diduga terlibat dalam peretasan situs web Sekretariat Kabinet RI (setkab.go.id).

Insiden siber itu terjadi pada Sabtu (31 Juli 2021) pagi sekitar pukul 09.00. Situs web sempat ditutup selama lima jam untuk perbaikan dan bisa diakses kembali sekitar pukul 14.00.

Ternyata pada Rabu (4 Agustus), serangan kembali terjadi, kata Deputi Sekretaris Kabinet Bidang Dukungan Kerja Kabinet, Thanon A. Dewangga kepada wartawan pada Senin (9 Agustus) dikutip dari saluran YouTube Setkab RI, Selasa (10 Agustus).

“Sebetulnya pada Rabu lalu (situs web) sudah tayang lagi. Tapi, tapi saat tayang, ternyata masih ada upaya-upaya perbuatan yang tak bertanggung jawab sehingga kami mengambil keputusan, kami men-take down situs web terlebih dulu,” ujar Thanon.

Hingga kini, situs web juga belum pulih seperti sediakala. Thanon mengatakan, dalam satu-dua hari ke depan situs web akan kembali tayang karena saat ini tengah dilakukan penguatan keamanan, salah satunya berkoordinasi dengan tim Badan Siber dan Sandi Negara (BSSN).

Thanon juga menjelaskan sejauh ini data-data di situs web masih aman karena selama ini setkab.go.id sebatas memberikan informasi-informasi, seperti acara atau kegiatan presiden dan kegiatan pemerintah lainnya.

“Jadi, tidak ada dokumen-dokumen yang dikecualikan atau dokumen yang bersifat rahasia yang disimpan di situs web Setkab,” ujar Thanon.

Setkab untuk kali kedua menjadi target web defacement, sebuah serangan mengubah tampilan laman situs web. Sebelumnya, serangan terjadi pada 24 Desember 2015. Saat itu, tampilan laman web berlatar hitam, gambar tengkorak, dan terdapat tulisan “Hacker Attack!” dan “Hello from the dark side, may force be with you.”‎ Peretas juga menyelipkan sebuah lagu disko.

---

Berita Terkait:

• Dua Remaja yang Meretas Situs Web Setkab RI Ditahan
• Motif Peretas Setkab RI Jual Skrip Backdoor
• Sejak Diserang BlackHat Padang Akhir Pekan Lalu, Setkab.go.id Belum Pulih

---

Bagaimana peretas masuk?

Kepada Cyberthreat.id, Selasa, Juru Bicara Badan Siber dan Sandi Negara (BSSN) menjelaskan bahwa tim Pusat Operasi Keamanan Siber Nasional BSSN telah dimintai bantuan untuk penanganan insiden tersebut.

Berdasarkan analisis catatan (log) server situs web, tim menemukan peretas telah menanam sejumlah skrip “pintu belakang” (backdoor).“[Backdoor ini, red] yang digunakan oleh peretas untuk melakukan tindakan malicious (jahat),” ujar Anton.

Ketika ditanya apakah ditemukan skrip perangkat lunak jahat (malware)? Anton mengatakan, sejauh ini penelusuran tim analis tidak menemukan malware lain. “Hanya [ditemukan] web shell untuk (akses) remote (jarak jauh), seperti cPanel,” ujar dia.

Pendek kata, web shell itulah yang dimaksud sebagai “pintu belakang”.

Web shell adalah sekumpulan skrip perintah di laman situs web untuk dipakai mengakses ke dalam sistem melalui eksekusi sebuah program tertentu. Web shell ini bisa bekerja layaknya cPanel—sebuah panel kontrol untuk mengelola layanan web hosting, meliputi manajemen file, basis data, domain, keamanan dan konfigurasi lainnya. Ketika seorang peretas bisa menaman web shell, mereka bisa bertindak sewenang-wenang termasuk mencuri data-data situs web atau mengubah konfigurasi yang ada.

Perlu diketahui, di dunia programming, “pintu belakang” sebetulnya bukanlah malware, tapi sering disalahgunakan untuk peretasan. Peranti lunak ini biasa dipakai programmer untuk mengakses sistem, aplikasi, atau jaringan tanpa harus proses autentikasi. Dan, memang dipakai untuk masuk ke sistem jika programmer ingin memperbaiki masalah (bug). Sayangnya, “pintu belakang” disalahgunakan oleh penyerang untuk masuk ke sistem sistem atau program yang ditargetkan secara ilegal, lalu dipakai untuk menanam skrip jahat.

Anton menjelaskan, penyerang memanfaatkan celah keamanan yang terdapat dalam aplikasi lain yang di-host di server yang sama dengan laman setkab.go.id.

Nama aplikasi yang dimaksud ialah subdomain Pejabat Pengelola Informasi dan Dokumentasi (PPID) yang beralamat https:// ppid.setkab.go.id.

Secara alur serangan, peretas pertama-tama telah mendapati ada celah keamanan di subdomain tersebut. Dari sini, mereka mengeksploitasi untuk mencari jalan ke domain. “Aplikasi PPID ini sebagai antara saja,” ujar Anton.

Namun, kata dia, tim BSSN telah memberikan rekomendasi teknis untuk perbaikan keamanan. “Saat ini teman-teman di Setka masih bekerja untuk memperbarui sistem yang ada dengan versi baru,” kata dia.

Selain itu, Anton menambahkan, tim Setkab juga sedang menambahkan beberapa penguatan keamanan seperti firewall, penerapan segmentasi jaringan, dan monitoring yang lebih baik.

Terpisah, Peneliti keamanan siber independen, Fauzan Wijaya, saat dimintai tanggapan atas serangan portal tersebut, mengatakan, serangan siber ke sebuah domain melalui celah keamanan subdomain memang bisa dilakukan. “Asal [domain dan subdomain sebuah situs web berada dalam] satu server,” ujar Fauzan.

Pernyataan Fauzan menguatkan apa yang disampaikan jubir BSSN bahwa serangan itu bermula dari subdomain yang memang ditempatkan satu server dengan domain setkab.go.id.

Secara teori, kata dia, serangan semacam itu bisa memakai teknik symlink (symbolic link) atau jumping server.

Setelah penyerang berhasil mengunggah backdoor, kemungkinan besar di-backdoor tersebut terdapat fitur symlink. Fitur symlink dipakai untuk mengambil nama pengguna (username) dan domain.

“Si hacker tinggal pilih situs mana yang mau dia retas. Kalau sudah dapet targetnya, tinggal mengambil konfigurasi, kemudian tinggal login ke MySQL-nya untuk mendapatkan username dan password situs web,” ujar dia.

Atau, ada kemungkinan lain, misal, si peretas benar-benar beruntung yaitu situs web yang diretasnya berada dalam satu direktori yang sama dengan situs web utama.

Sederhananya, dalam kasus peretasan setkab.go.id, peretas menanam web shell di subdomain ppid.setkab.go.id, lalu mencari cara untuk login ke setkab.go.id.

Berapa harga jual skrip backdoor?

Menurut Kepala Bagian Penerangan Umum Divisi Humas Polri Kombes Ahmad Ramadhan, motif kedua tersangka melakukan defacing untuk mencari keuntungan.

Mereka menjual skrip backdoor dari web yang menjadi target kepada orang yang membutuhkan, ujar Ramadhan.

Sementara, Fauzan mengatakan, sepengetahuan dirinya tentang jual-beli skrip backdoor seperti itu, nilai jual bergantung pada kepopuleran sebuah situs web.

Dalam dunia web developer istilah kepopuleran atau peringkat sebuah situs web disebut “domain authority” (DA). Menurut Fauzan, harga jual skrip akan semakin mahal jika peringkat situs web tersebut semakin baik di mesin pencari.

“Situs web yang DA-nya di atas 30, pembeli berani bayar ratusan ribu rupiah. Biasanya yang nampung backdoor ini,orang-orang pencari backlink untuk SEO (search engine optimization),” tutur Fauzan. “Ini dipakai mereka untuk menaikkan indeks peringkat di mesin pencarian.”

Namun, jika si peretas menawarkan di grup-grup tertutup, apalagi itu situs web pemerintah, nilainya bisa lebih mahal lagi.

Untuk domain-domain yang sensitif, misal fbi.gov, cenderung mahal dengan nilai mencapai ratusan juta. Ini lantaran bukan kalangan web developer yang menampung, tapi kalangan geng peretas Malware-as-a-Service (Maas) atau Ransomware-as-a-Service (Raas)—kelompok yang menyewakan senjata peretasan berupa malware.[]