- Pixabay/Geralt
VIVA – Puluhan ribu organisasi berbasis di Amerika Serikat yang menjalankan server Microsoft Exchange, telah diretas oleh hacker yang mencuri kata sandi administrator dan mengeksploitasi kerentanan dalam aplikasi email dan kalender, menurut sebuah laporan.
Microsoft mengeluarkan tambalan darurat pada Selasa pekan lalu, tetapi tambalan tersebut tidak bisa melakukan tindakan terhadap sistem yang telah diretas, mengutip dari laman Ars Technica, Senin, 8 Maret 2021.
KrebsOnSecurity adalah yang pertama melaporkan peretasan massal. Menurut sumber yang tidak mau disebutkan namanya, jumlah organisasi AS yang diretas sekitar 30 ribu, sedangkan untuk seluruh dunia mencapai 100 ribu organisasi.
Microsoft pada hari Selasa mengatakan, bahwa server Exchange lokal sedang diretas oleh kelompok hacker yang berbasis di China, disebut Hafnium. Menyusul postingan dari Krebs, perusahaan mengatakan bahwa pihaknya melihat adanya peningkatan serangan yang menargetkan sistem yang tidak ditambal oleh beberapa aktor jahat selain Hafnium.
Director of Intelligence Red Canary, Katie Nickels, mengatakan bahwa mereka telah menemukan server Exchange disusupi peretas menggunakan taktik, teknik, dan prosedur yang sangat berbeda dari Hafniumm
Ada lima kelompok hacker yang terlihat berbeda satu sama lain. Mempertanyakan apakah orang-orang di balik peretasan massal ini berbeda atau tidak benar-benar menjadi masalah yang menantang.
Di Twitter, Red Canary mengatakan bahwa beberapa server Exchange yang mereka lacak telah mengandung malware, yang pernah dianalisis oleh perusahaan keamanan Carbon Black pada 2019. Malware tersebut merupakan bagian dari serangan yang menginstal perangkat lunak cryptomining yang disebut DLTminer. Kemungkinan pelakunya bukan Hafnium.
Microsoft mengatakan bahwa Hafnium adalah grup peretas terampil dari China yang fokus pada pencurian data dari penelitian penyakit menular yang berbasis di AS, firma hukum, lembaga pendidikan tinggi, kontraktor pertahanan, lembaga pemikir kebijakan, dan organisasi non-pemerintah.
Grup tersebut, menurut perusahaan yang didirikan Bill Gates ini meretas server dengan mengeksploitasi kerentanan zeroday yang baru-baru ini diperbaiki atau menggunakan kredensial administrator yang disusupi.
Tidak jelas berapa persentase server yang terinfeksi, yang merupakan hasil kerja Hafnium. Microsoft memperingatkan bahwa kemudahan mengeksploitasi kerentanan pada sistem membuat kelompok peretas lainnya akan bergabung dengan Hafnium.
