Ada 10 Geng Hacker yang Berupaya Eksploitasi Kerentanan Microsoft Exchange Server
Ilustrasi | Foto: Unsplash
Cyberthreat.id – Perusahaan keamanan siber asal Slowakia, ESET, mendeteksi sedikitnya ada 10 kelompok peretasan yang berbeda berupaya mengeksploitasi kerentanan pada Microsoft Exchange Server, perangkat lunak server email milik Microsoft.
Di antara 10 geng tersebut yaitu Winnti Group, Calypso, Tick (Bronze Butler), Websiic, ShadowPad, The “Opera” CobaltStrike, LuckMouse (APT27), Tonto Team, Mikroceen, dan DLTMiner.
Sebelumnya, Microsoft lebih dulu menuding biang keladi peretasan di balik empat kerentanan produknya itu adalah grup Hafniun, yang diduga mendapat dukungan China dan beroperasi di luar negeri.
Dalam laporan terbaru ESET yang dikeluarkan Rabu (10 Maret 2021), juga disebutkan adanya web shell—skrip berbahaya yang memungkinkan kendali jarak jauh server via web browser (peramban web)—di lebih dari 5.000 server unik yang tersebar lebih dari 115 negara.
Baca:
- Yang Perlu Diketahui tentang Peretasan Massal Microsoft Exchange Server
- Parlemen Norwegia Terkena Serangan Siber Via Microsoft Exchange
Menurut ESET, banyak dari webshell tersebut hanya terdeteksi selama sepekan terakhir, karena penyerang dunia maya meningkatkan operasi mereka sebelum banyak organisasi menerapkan tambalan (patch) yang baru-baru ini dirilis Microsoft.
"Setelah tambalan, kami telah melihat peningkatan besar dan yakin bahwa beberapa penyerang mulai melakukan pemindaian massal. Mereka mungkin ingin menyusupi server sebanyak mungkin sebelum tambalan diterapkan pada server email yang paling menarik bagi mereka," Matthieu Faou, peneliti malware di ESET, mengatakan kepada ZDNet, Kamis (11 Maret).
Sebagian besar kelompok peretasan yang diidentifikasi oleh peneliti ESET melakukan operasi spionase dunia maya, sedangkan salah satu dari temuannya berupa malware penambangan cryptocurrency (DLTMiner).
Faou menyarankan penting bagi tiap-tiap organisasi segera menginstal pembaruan Exchange Server guna melindungi jaringan computer agar tidak dieksploitasi oleh peretas.
"Kemudian, mereka harus dengan hati-hati memeriksa setiap jejak penyusupan dengan meninjau log dan memastikan bahwa tidak ada web shell yang dipasang di server mereka," kata Fauo.
Juga, disarankan agar organisasi mempertimbangkan untuk membatasi akses ke jaringan mereka dari internet terbuka, memberikan rintangan tambahan bagi penyusup yang tidak diinginkan.
"Mereka juga harus mempertimbangkan untuk membuat peladen Exchange Server hanya dapat diakses oleh pengguna mereka dan tidak ke seluruh internet melalui penggunaan VPN, misalnya. Microsoft Exchange adalah aplikasi yang sangat kompleks. Dengan demikian, ada kemungkinan kelemahan lain akan terjadi yang ditemukan di tahun-tahun berikutnya," tutur dia.
Faou mengatakan kepada Reuters bahwa "sangat tidak biasa" bagi begitu banyak kelompok spionase dunia maya yang berbeda memiliki akses ke informasi yang sama sebelum dipublikasikan.
Dia berspekulasi bahwa informasi tersebut “entah bagaimana bocor” sebelum pengumuman Microsoft atau ditemukan oleh pihak ketiga yang memberikan informasi kerentanan kepada mata-mata dunia maya.
Ben Read, Direktur perusahaan keamanan siber FireEye Inc, mengatakan sejauh ini belum bias mengonfirmasi rincian persisnya temuan dari ESET, tapi FireEye juga telah melihat "beberapa kelompok yang kemungkinan besar asal China" menggunakan kelemahan Microsoft dalam gelombang yang berbeda.[]
