Cyberthreat.id –  Sejak awal Desember 2019, kelompok peretas (hacker) misterius telah mengambil alih router DrayTek—perusahaan asal Taiwan—untuk “menguping” File Transfer Protocol (FTP) dan lalu lintas email di dalam jaringan perusahaan.

Perusahaan keamanan siber China, Qihoo 360, yang menemukan penyimpangan itu, mengatakan, para peneliti mendeteksi dua aktor ancaman yang berbeda, masing-masing mengeksploitasi “kerentanan nol hari” (zero-day) yang berbeda di DrayTek Vigor.

DrayTek Vigor adalah router penyeimbang beban dan gateway VPN yang biasanya digunakan pada jaringan perusahaan.

Kelompok pertama dijuluki sebagai "Attack Group A” yang dinilai peneliti lebih canggih dari kelompok kedua, “Attack Group B”.

Menurut Qihoo, Grup A muncul di radar mereka pada 4 Desember 2019 ketika mereka mendeteksi serangan yang cukup kompleks pada perangkat DrayTek.

Qihoo mengatakan Grup A menyalahgunakan kerentanan pada mekanisme login yang dienkripsi RSA dari perangkat DrayTek. Mereka menyembunyikan kode berbahaya di halaman login nama pengguna router.

Ketika router DrayTek menerima dan mendekripsi data login, kode berbahaya tadi akan memungkinkan hacker mengontrol router.

Alih-alih menyalahgunakan perangkat untuk meluncurkan serangan DDoS atau mengubah rute lalu lintas sebagai bagian dari jaringan proxy, para peretas berubah menjadi spy-box.

Para peneliti mengatakan peretas menyebarkan skrip yang mencatat lalu lintas yang datang melalui port 21 (transfer file FTP), port 25 (SMTP - email), port 110 (POP3 - email), dan port 143 (IMAP - email).

Selanjutnya, pada setiap Senin, Rabu, dan Jumat pukul 00.00, skrip akan mengunggah semua lalu lintas yang direkam ke server jarak jauh.

Peneliti Qihoo belum tahu mengapa peretas mengumpulkan lalu lintas FTP dan email. Tetapi, berbicara dengan ZDNet melalui telepon, seorang peneliti keamanan menunjukkan bahwa ini tampak seperti operasi pengintaian klasik.

"Keempat protokol tersebut adalah teks-jelas. Jelas, mereka mencatat trafik untuk mengumpulkan kredensial login untuk FTP dan akun email," kata peneliti.

Selain itu, menurut ZDNet, Sabtu (28 Maret 2020), aksi Grup A juga tidak luput dari perhatian perusahaan keamanan siber lainnya. Namun, sampel infrastruktur serangan atau lainnya tidak ada kemiripan dan, untuk saat ini, tampaknya merupakan grup baru.

Sementara itu, Grup B menggunakan zero-day yang berbeda. Menurut Qihoo, peretas mengeksekusi kode pada perangkat DrayTek yang rentan, mengeksploitasi bug dalam proses "rtick" untuk membuat akun backdoor pada router yang diretas. Apa yang mereka lakukan dengan akun itu masih belum diketahui.

Qihoo mengatakan bahwa para peneliti memberi tahu DrayTek tentang zero-day setelah mereka mendeteksi serangan. Namun, peringatan pertama mereka dikirim melalui saluran yang salah dan tidak pernah dilihat oleh pegawai DrayTek. Kabar baiknya, patch atas kerentanan itu akhirnya dirilis Februari lalu.

Menurut Qihoo, serangan telah diamati terhadap perangkat DrayTek Vigor 2960, 3900, dan 300B.

Menggunakan mesin pencari BinaryEdge, ZDNet dapat menemukan lebih dari 978.000 perangkat DrayTek Vigor di internet. Namun, Qihoo mengatakan, hanya sekitar 100.000 di antaranya menjalankan versi firmware yang rentan terhadap serangan.[]