Hacker DarkHotel Serang China, Eksploitasi Zero-day VPN
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Kelompok peretas (hacker) DarkHotel meluncurkan operasi peretasan besar-besaran yang ditujukan ke lembaga pemerintahan China.
Perusahaan keamanan siber China, Qihoo 360, yang mendeteksi serangan itu, mengatakan, aksi peretas dimulai sejak Maret 2020 yang menggunakan kedok wabah Covid-19.
Menurut peneliti, peretas memanfaatkan kerentanan “nol hari” (zero-day) atau belum ditambal (patched) pada peladen (server) Sangfor SSL VPN. Akses VPN ini menyediakan akses jarak jauh ke jaringan perusahaan dan pemerintah.
Qihoo menemukan lebih dari 200 server jaringan virtual pribadi (VPN) yang diretas oleh DarkHotel. Sebanyak 174 server di antaranya berada di jaringan lembaga pemerintah di Beijing dan Shanghai, serta jaringan misi diplomatik China yang beroperasi di luar negeri, antara lain Italia, Britania Raya, Pakistan, Kirgistan, dan Indonesia.
Lalu, Thailand, UAE, Armenia, Korea Utara, Israel, Vietnam, Turki, Malaysia, Iran, Ethiopia, Tajikistan, Afganistan, Arab Saudi, dan India.
Dalam laporan yang diterbitkan Senin (6 April 2020), peneliti Qihoo mengatakan seluruh rantai serangan itu canggih dan sangat pintar. Peretas menggunakan zero-day untuk mendapatkan kendali atas server Sangfor VPN, tempat penyerang mengganti file bernama SangforUD.exe dengan versi boobytrapped alias jebakan.
File tersebut pembaruan untuk aplikasi desktop Sangfor VPN, yang dipasang oleh karyawan di komputer mereka untuk terhubung ke server Sangfor VPN.
“Ketika pekerja terhubung ke server Sangfor VPN yang diretas, mereka diberikan pembaruan otomatis untuk klien desktop mereka, tetapi menerima file SangforUD.exe palsu. File ini kemudian menginstal trojan ‘pintu belakang’ (backdoor) pada perangkat korban,” tulis ZDNet.
Asal Korea
Dalam pelacakannya, peneliti Qihoo meyakini kelompok peretas beroperasi di semenanjung Korea mesk belum diketahui apakah mereka berbasis di Korea Utara atau Selatan.
Grup, yang telah beroperasi sejak 2007, dianggap sebagai salah satu operasi peretasan yang disponsori negara paling canggih saat ini. Grup ini juga dikenal dengan sebutan APT-C-06 aka Peninsula APT. Jejak kakinya di dunia maya ada di seluruh Cina, Korea Utara, Jepang, Myanmar, dan Rusia.
Ini bukan pertama kalinya DarkHotel meluncurkan serangan ke China. Sebelumnya, Qihoo 360 telah menemukan dua eksploitasi zerp-day (CVE-2019-17026 dan CVE-2020-0674) yang digunakan Peninsula APTuntuk menargetkan perusahaan milik pemerintah Cina ketika Microsoft mengakhiri dukungan Windows 7.
Dalam laporan yang diterbitkan Maret lalu, Google mengatakan, kelompok DarkHotel menggunakan kerentanan lima hari-nol (five zero-day) pada 2019, lebih dari operasi peretasan negara-bangsa lainnya.
Kerentana zero-day pada Sangfor VPN adalah zero-day ketiga yang digunakan DarkHohtel pada 2020.
Awal tahun ini, grup tersebut juga terlihat menggunakan zero-day untuk browser Firefox dan Internet Explorer. Lagi-lagi, mereka menargetkan entitas pemerintah di China dan Jepang.
Sebelumnya, Reuters juga melaporkan, situs web Badan Kesehatan Dunia (WHO) juga menjadi target serangan siber.
Kepala Pejabat Keamanan Informasi WHO Flavio Aggio mengatakan upaya peretasan terhadap WHO dan mitranya telah meningkat ketika mereka berjuang untuk menahan virus corona (Covid-19).
Upaya peretasan WHO pertama kali ditemukan oleh Alexander Urbelis, pakar keamanan siber dan pengacara pada Blackstone Law Group yang berbasis di New York, yang melacak aktivitas pendaftaran domain internet yang mencurigakan.
Tambalan
Qihoo mengatakan telah melaporkan kerentanan pada Sangfor VPN pada 3 April lalu. Sangfor VPN mengatakan, tambalan untuk perangkatnya akan datang segera. Perusahaan berencana merilis skrip untuk mendeteksi apakah peretas telah mengkompromikan server VPN. Juga, alat untuk menghapus file yang digunakan oleh DarkHotel.
Kejadian peretasan kerentanan server Sangfor VPN sebelumnya dialami oleh WeChat, aplikasi olah pesan asal China. Menurut perusahaan, server Sangfor VPN yang menjalankan versi firmware M6.3R1 dan M6.1 telah dikompromikan menggunakan zero-day oleh DarkHotel.[]
