Jakarta (PARADE.ID)- Badan Keamanan Siber dan Infrastruktur (CISA) Amerika Serikat mengklaim telah mendeteksi adanya peretas yang memperoleh akses dan mengekstrak data badan-badan pemerintah.
Sayangnya, CISA tak menyebutkan badan-badan pemerintah mana saja yang diretas, tanggal peretasan, atau detail tentang penyerang, seperti kode atau afiliasi dengan organisasi tertentu, demikian seperti dikutip dari ZDNet, Kamis (24 September 2020).
Dalam laporan CISA yang diterbitkan kemarin disebutkan, penyusup memperoleh akses ke jaringan internal badan-badan federal melalui saluran berbeda. Di antaranya, memanfaatkan kredensial yang diretas untuk akun Microsoft Office 365, akun administrator domain, dan kredensial untuk server VPN Pulse Secure badan tersebut. Kredensial adalah informasi rahasia yang dipakai untuk login ke sistem, bisa berupa username dan password.
CISA mengatakan penyerang masuk ke akun Office 365 untuk melihat dan mengunduh lampiran email “help desk” dengan “akses Intranet” dan “kata sandi VPN” di baris subjek.
Penyerang juga mengakses “Active Directory” lokal, di mana mereka mengubah pengaturan dan mempelajari struktur jaringan internal badan tersebut.
Untuk bisa kembali ke jaringan badan-badan federal, para peretas memasang terowongan SSH dan membalikkan proxy SOCKS, menggunakan malware khusus, dan menghubungkan hard drive yang mereka kendalikan ke jaringan badan sebagai remote share yang dipasang secara lokal.
“File berbagi yang dipasang memungkinkan aktor untuk bergerak bebas selama penyusupan,” kata analis CISA. Penyerang juga membuat akun lokalnya sendiri di jaringan.
CISA mengatakan peretas menggunakan akun itu untuk menelusuri jaringan lokal, menjalankan perintah PowerShell, dan mengumpulkan file penting ke dalam arsip ZIP.
Pihaknya tidak dapat memastikan apakah penyerang mengeksfiltrasi arsip ZIP.
Selain itu, CISA mengatakan malware yang dipasang para peretas di jaringan badan-badan pemerintah “mampu mengatasi anti-malware badan tersebut, dan inetinfo.exe [malware] lolos dari pengisolasian.”
(Cyberthreat/PARADE.ID)
