Microsoft: Hacker China Susupi Router Milik UKM untuk Curi Data Kredensial

Liputan6.com, Jakarta - Microsoft memperingatkan bahwa hacker China menggunakan botnet Quad7, nan disusupi dari router small office/home office (SOHO) nan diretas, untuk mencuri kredensial dalam serangan password-spray.

Router SOHO biasanya menjadi pilihan utama bagi upaya mini menengah (UKM) nan memerlukan hubungan internet stabil.

Quad7, juga dikenal sebagai CovertNetwork-1658 alias xlogin, adalah botnet nan pertama kali ditemukan oleh peneliti keamanan Gi7w0rm (terdiri dari router SOHO nan disusupi).

Laporan selanjutnya oleh Sekoia dan Team Cymru melaporkan bahwa hacker China menargetkan router dan perangkat jaringan dari TP-Link, ASUS, perangkat nirkabel Ruckus, perangkat NAS Axentra, dan peralatan VPN Zyxel.

Ketika perangkat disusupi, hacker menyebarkan malware unik nan memungkinkan akses jarak jauh ke perangkat melalui Telnet, nan menampilkan 'banner selamat datang unik' berasas perangkat nan disusupi.

Selain router nan terinstal, pelaku ancaman juga memasang server proxy SOCKS5 untuk melakukan serangan rawan sembari berbaur dengan tfaffic nan sah untuk menghindari penemuan keamanan.

Meskipun botnet tersebut belum dikaitkan dengan tokoh ancaman tertentu, Team Cymru melacak perangkat lunak proksi nan digunakan pada router tersebut ke pengguna nan tinggal di Hangzhou, China.

Microsoft mengungkapkan bahwa botnet Quad7 diyakini beraksi dari China, dengan beberapa pelaku ancaman Hacker memanfaatkan router nan disusupi untuk mencuri kredensial melalui serangan password spray.

"Microsoft menilai bahwa kredensial nan diperoleh dari operasi password spray CovertNetwork-1658 digunakan oleh beberapa pelaku ancaman China," kata Microsoft dalam laporan baru.

"Secara khusus, Microsoft telah mengawasi pelaku ancaman Tiongkok Storm-0940 menggunakan kredensial dari CovertNetwork-1658," perusahaan melanjutkan.

Saat melakukan serangan password spray, Microsoft mengatakan pelaku ancaman tidak agresif, hanya mencoba masuk beberapa kali per akun, kemungkinan untuk menghindari peringatan sistem keamanan.

"Dalam kampanye ini, CovertNetwork-1658 mengirimkan sejumlah mini upaya masuk ke banyak akun di organisasi target," ungkap Microsoft.

"Dalam sekitar 80 persen kasus, CovertNetwork-1658 hanya melakukan satu upaya masuk per akun per hari," sambungnya.

Setelah kredensial dicuri, Microsoft telah mengawasi Storm-0940 memanfaatkannya untuk membobol jaringan nan menjadi target, terkadang pada hari nan sama saat kredensial dicuri.

Setelah jaringan dibobol, pelaku ancaman menyebar lebih jauh melalui jaringan dengan membuang kredensial dan memasang RAT dan perangkat proksi untuk persistensi pada jaringan.

Tujuan akhir dari serangan ini adalah untuk mengekstrak info dari jaringan nan menjadi target, kemungkinan untuk tujuan spionase siber.

Hingga saat ini, para peneliti belum menentukan secara tepat gimana pelaku ancaman Quad7 membahayakan router SOHO dan perangkat jaringan lainnya.

Namun, Sekoia mengawasi salah satu honeypot mereka dibobol oleh pelaku ancaman Quad7 nan memanfaatkan zero-day OpenWRT.

"Kami menunggu kurang dari seminggu sebelum mengawasi serangan krusial nan merantai pengungkapan file nan tidak diautentikasi nan tampaknya tidak berkarakter publik saat ini (menurut pencarian Google) dan injeksi perintah," jelas Sekoia pada bulan Juli.

Bagaimana pelaku ancaman membobol perangkat lain tetap menjadi misteri.