Palang Merah Internasional Diretas, Sumber Masalah Kerentanan Peranti Zoho

Cyberthreat.id – Peretasan yang dialami oleh Palang Merah Internasional (ICRC) pada Januari lalu bermula dari bypass autentikasi pada peranti lunak ADSelfService Plus. (Baca: Palang Merah Dunia Sebut Hacker yang Bobol Servernya Disponsori Negara)

ADSelfService Plus ialah manajemen kata sandi mandiri dan solusi untuk sistem login buatan ManageEngine, anak perusahaan TI terkemuka, Zoho dari India.

ICRC mengakui bahwa organisasi gagal menerapkan patch (tambalan) untuk kerentanan tersebut sebelum diserang pada 9 November 2021—sehari setelah Microsoft juga mengumumkan, DEV-0322, geng peretas yang beroperasi di luar China tengah mengeksploitasi kerentanan yang sama.

Kerentanan itu sebelumnya telah ditandai oleh perusahaan sebagai CVE-2021-40539 dan secara publik telah disoroti oleh sejumlah perusahaan keamanan siber, seperti Microsoft, Palo Alto Networks, dan Rapid7. (Baca: Hati-hati! Bug di Peranti Lunak ManageEngine Zoho sedang Dieksploitasi Peretas)

Bahkan, Badan Keamanan Siber dan Infrastruktur (CISA) AS dan Kantor Federal Jerman untuk Perlindungan Konstitusi (BfV) juga mengeluarkan peringatan serupa untuk kerentanan itu yang diduga dieksploitasi oleh peretas canggih (APT).

“Para penyerang menggunakan alat canggih spesifik. Alat ini terutama digunakan ole kelompok advanced persistent threat (APT) sehingga tidak tersedia untuk umum,” ujar ICRC.

“Selain itu, penyerang menggunakan teknik penyamaran canggih untuk bersembunyi dan melindungi program jahatnya. Keterampilan ini butuh tingkat tinggi yang hanya tersedia pada sejumlah kecil pelaku.”

Menurut laporan ICRC, sepotong kode yang ditemukan di server ICRC secara eksplisit merujuk pada pengidentifikasi unik pada server yang ditargetkan (alamat MAC-nya).

Alat anti-malware yang dipasang di server aktif dan mendeteksi serta memblokir beberapa file yang digunakan oleh penyerang, kata ICRC.

“Tetapi, sebagian besar file berbahaya yang disebarkan secara khusus dibuat untuk mem-bypass solusi anti-malware kami, dan itu hanya ketika kami memasang agen endpoint detection and response (EDR) lanjutan sebagai bagian dari program peningkatan yang direncanakan agar intrusi ini terdeteksi,” laporan ICRC menyebutkan.

Kerentanan CVE-2021-40539 memungkinkan peretas jahat untuk menempatkan backdoor dan melakukan aktivitas pasca-eksploitasi seperti mencuri kredensial administrator, melakukan gerakan lateral, dan mengekstrak kumpulan registri dan Active Directory files.

Menurut ICRC, peretas menghabiskan 70 hari di dalam sistem sebelum ditemukan pada Januari lalu.

Akibat serangan itu, peretas membocorkan nama dan informasi kontak 515.000 orang bagian dari Restoring Family Links, program menghubungkan kembali orang hilang dan anak-anak dengan keluarga mereka setelah perang, kekerasan, atau masalah lain.

Informasi pribadi tersebut mencakup nama, lokasi, dan lebih banyak lagi orang hilang dan keluarganya, anak-anak tanpa pendamping atau terpisah, tahanan, dan orang lain yang menerima layanan dari Gerakan Palang Merah dan Bulan Sabit Merah akibat konflik bersenjata, bencana alam, atau migrasi. .

Informasi login untuk sekitar 2.000 staf dan relawan Palang Merah dan Bulan Sabit Merah juga telah dilanggar.

"Kami juga telah mengembangkan solusi yang memungkinkan tim Palang Merah dan Bulan Sabit Merah di seluruh dunia untuk terus menyediakan layanan pelacakan dasar bagi orang-orang yang terkena dampak pelanggaran ini di saat kami menyiapkan kembali lingkungan digital baru untuk Central Tracing Agency," ujar ICRC, dikutip dari ZDNet, diakses Senin (21 Februari 2022).[]