Hacker Menyusup ke Situs Web WHO dan UNESCO, Unggah Dokumen Mencurigakan

Cyberthreat.id – Seorang peretas (hacker) menemukan cara untuk mengunggah file PDF ke situs web beberapa organisasi, termasuk Organisasi Kesehatan Dunia (WHO) dan UNESCO.

Serangan tersebut, yang pertama kali dilaporkan oleh Cyberwarzone.com, tampaknya tidak terlalu canggih dan dampaknya kemungkinan kecil, tetapi kerentanan yang sama dapat dimanfaatkan oleh pelaku ancaman yang lebih maju untuk serangan yang lebih serius.

File-file itu diunggah oleh seorang peretas yang menggunakan moniker (nama julukan) daring “m1gh7yh4ck3r”, demikian seperti dikutip dari Security Week, Senin (28 September 2020).

Penelusuran untuk "m1gh7yh4ck3r" di Google menunjukkan bahwa dalam beberapa hari terakhir mereka mengunggah file ke situs web resmi UNESCO, WHO, Institut Teknologi Georgia, dan situs web pemerintah Kuba.

Georgia Tech dan WHO tampaknya telah menghapus file yang diunggah oleh peretas, tetapi file tersebut masih ada di situs web UNESCO dan pemerintah Kuba saat artikel ini diterbitkan oleh Security Week.

Perwakilan UNESCO mengatakan masih melakukan penyelidikan, sedangkan WHO belum memberikan tanggapan.

File PDF yang diunggah tersbeut terkait dengan peretasan game online dan peretasan akun Facebook dan Instagram. Dokumen tersebut berisi tautan yang mengarah ke berbagai layanan dan alat peretasan. Layanan dan alat ini tampaknya palsu dan mengarahkan pengguna ke berbagai jenis situs web penipuan.

Salah satu mesin antivirus di VirusTotal mendeteksi beberapa file PDF sebagai trojan dan satu file terdeteksi sebagai "mencurigakan".

Tidak jelas bagaimana peretas berhasil mengunggah file, tetapi itu kemungkinan merupakan metode yang tidak canggih mengingat dokumen yang diunggah ke domain yang tampaknya dirancang untuk memungkinkan pengguna mengunggah file.

Mereka mungkin telah mengeksploitasi unggahan file yang diketahui atau tidak dikenal atau kerentanan bypass otentikasi—dalam kasus situs web UNESCO, halaman login mudah diakses, tulis Security Week.

Meskipun dalam kasus serangan tersebut kemungkinan berdampak rendah, kemampuan untuk mengunggah file sewenang-wenang ke situs web seperti WHO dan UNESCO dapat sangat berguna bagi aktor canggih yang disponsori negara.

Ada banyak kampanye jahat sejak dimulainya pandemi Covid-19, di mana penjahat dunia maya yang bermotivasi finansial dan kelompok yang disponsori negara mengirim email jahat yang menyamar sebagai WHO.

Georgia Tech mengatakan, telah mengatasi masalah tersebut yang terkait dengan formulir di situs web lama yang menggunakan Drupal CMS dan modul Formulir Web, yang secara default memungkinkan pengguna mengunggah file.

“Unggahan yang terjadi pada server chhs [server GA Tech yang terkena dampak] adalah contoh serangan terhadap situs web yang salah dikonfigurasi. Jenis serangan spam situs web ini agak tidak biasa, karena tidak bergantung pada kredensial yang lemah, atau pada perangkat lunak yang sudah ketinggalan zaman,” juru bicara Georgia Tech.

“Sebaliknya, ini bergantung pada konfigurasi khusus CMS dan plugin/modul terkait formulirnya (kategori 10 teratas OWASP "Kesalahan Konfigurasi Keamanan").

Oleh karenanya, masalah semacam itu tidak mudah dipindai dengan sebagian besar pemindai kerentanan komersial yang ada, kata jubir Georgia Tech.

Serangan tersebut tampaknya menjadi bagian dari aksi yang lebih besar sejak beberapa bulan terakhir, terutama menargetkan situs web pemerintah dan universitas.

Bleeping Computer juga melaporkan beberapa organisasi besar menjadi sasaran pada Agustus lalu; dalam banyak kasus serangan melalui modul Webform di Drupal.[]