Palang Merah Dunia Sebut Hacker yang Bobol Servernya Disponsori Negara
Museum Palang Merah dan Bulan Sabit Merah di Jenewa, Swiss | Myswitzerland.com
Cyberthreat.id - Komite Palang Merah Internasional (ICRC) mengatakan pada hari Rabu bahwa peretasan yang diungkap bulan lalu terhadap servernya adalah serangan yang ditargetkan yang kemungkinan dikoordinasikan oleh kelompok peretas yang didukung negara.
Selama insiden tersebut, para penyerang memperoleh akses ke informasi pribadi (nama, lokasi, dan informasi kontak) lebih dari 515.000 orang dalam program "Memulihkan Hubungan Keluarga" yang membantu menyatukan kembali keluarga yang terpisah oleh perang, bencana, dan migrasi.
Untuk menembus server Palang Merah, pelaku ancaman menggunakan taktik dan alat peretas khusus "dirancang untuk keamanan ofensif" dan teknik pengaburan untuk menghindari deteksi, biasanya terkait dengan kelompok ancaman persisten tingkat lanjut (APT).
Palang Merah juga mencatat sifat serangan yang ditargetkan yang dibuktikan dengan penggunaan "kode yang dirancang murni untuk dieksekusi pada server ICRC yang ditargetkan" oleh penyerang dan menggunakan alamat MAC server yang ditargetkan.
"Sebagian besar file berbahaya yang disebarkan secara khusus dibuat untuk mem-bypass solusi anti-malware kami, dan hanya ketika kami memasang agen deteksi dan respons titik akhir (EDR) lanjutan sebagai bagian dari program peningkatan terencana kami, intrusi ini terdeteksi," tambahnya.
Menggunakan Kerentanan Zoho
Palang Merah menemukan selama penyelidikan bahwa penyusup dapat mempertahankan akses ke servernya selama 70 hari setelah pelanggaran awal yang terjadi pada 9 November 2021.
Untuk mengamankan jaringan, para penyerang mengeksploitasi kerentanan kritis yang belum ditambal (CVE-2021-40539) dalam solusi manajemen kata sandi perusahaan ManageEngine ADSelfService Plus Zoho, yang memungkinkan mereka untuk mengeksekusi kode dari jarak jauh tanpa autentikasi.
"Kerentanan ini memungkinkan pelaku cyber jahat untuk menempatkan cangkang web dan melakukan aktivitas pasca-eksploitasi seperti mengkompromikan kredensial administrator, melakukan gerakan lateral, dan mengekstrak kumpulan registri dan file Direktori Aktif," tambah ICRC.
"Begitu berada di dalam jaringan kami, para peretas dapat menggunakan alat keamanan ofensif yang memungkinkan mereka untuk menyamar sebagai pengguna atau administrator yang sah. Ini, pada gilirannya, memungkinkan mereka untuk mengakses data, meskipun data ini dienkripsi."
Palang Merah tidak mengaitkan serangan tersebut dengan aktor ancaman tertentu dan mendesak para peretas untuk tidak membagikan, membocorkan, atau menjual data yang sangat sensitif yang diakses selama insiden tersebut.
Sebelumnya, ada satu kelompok peretasan yang didukung negara yang diketahui telah mengeksploitasi kelemahan CVE-2021-40539 dalam serangannya.
Peneliti Palo Alto Networks menghubungkan kampanye peretasan yang mengeksploitasi bug Zoho ini ke grup yang disponsori China yang dikenal sebagai APT27, yang kemudian diamati oleh badan intelijen domestik BfV Jerman yang menargetkan organisasi komersial Jerman sejak Maret 2021 menggunakan bug yang sama.
FBI dan CISA juga mengeluarkan nasihat bersama tahun lalu untuk memperingatkan kelompok APT yang mengeksploitasi kelemahan ManageEngine untuk menjatuhkan shell web pada jaringan organisasi infrastruktur kritis yang dilanggar. []
