Hacker China Retas 30.000 Organisasi AS lewat Celah Microsoft Exchange

KOMPAS.com - Baru-baru ini, sejumlah organisasi yang berbasis di Amerika Serikat yang menjalankan server e-mail Microsoft Exchange dilaporkan diretas oleh hacker asal China. Peretasan dilakukan lewat celah keamanan yang ada pada server Microsoft Exchange.

Setidaknya 30.000 organisasi AS terdampak peretasan, mulai dari bisnis kecil hingga institusi pemerintah. Peretasan masal ini pertama kali dilaporkan oleh situs KrebsOnSecurity, milik jurnalis investigasi Brian Krebs.

Microsoft sendiri telah mengetahui tentang peretasan ini. Pada Selasa (2/3/2021), Microsoft mendeteksi adanya eksploit zero-day yang digunakan untuk menyerang server Microsoft Exchange.

Baca juga: Hacker Korea Utara Berupaya Bobol Server Pembuat Vaksin Covid-19

Di samping itu, selama tiga hari setelah serangan perama dilancarkan, peretas asal China juga meningkatkan serangan terhadap server Exchange dengan celah keamanan yang belum ditambal di seluruh dunia.

Dalam peretasan massal ini, hacker memanfaatkan empat celah keamanan untuk mengakses akun e-mail pengguna Exchange dan mencuri password administrator  Pusat Intelijen Ancaman Microsoft (MSTIC) mengatakan serangan ini diotaki organisasi bernama Hafnium.

This is the real deal. If your organization runs an OWA server exposed to the internet, assume compromise between 02/26-03/03. Check for 8 character aspx files in C:\\inetpub\wwwroot\aspnet_client\system_web\. If you get a hit on that search, you’re now in incident response mode. https://t.co/865Q8cc1Rm

— Chris Krebs (@C_C_Krebs) March 5, 2021

Hafnium adalah grup peretas asal China yang aksinya berfokus pada pencurian data, mulai dari data milik peneliti penyakit menular yang berbasis di AS, firma hukum, lembaga pendidikan tinggi, kontraktor pertahanan, hingga organisasi non-pemerintah.

Tidak ada informasi detail terkait berapa persentase server yang berhasil disusupi oleh Hafnium. Microsoft Security Response Center (MSRC), mengatakan telah merilis pembaruan keamanan untuk menambal celah keamanan yang dimanfaatkan oleh Hafnium tersebut.

Baca juga: Aplikasi ShareIt di Android Rawan Dibajak Hacker

"Kami sangat menganjurkan pelanggan untuk segera memperbarui sistem lokal," tulis Microsoft dalam unggahan di blog resminya.

Namun, Brian Krebs berpendapat bahwa  update keamanan darurat yang dirilis Microsoft itu tidak akan berbuat banyak pada server Exchange yang sudah terlanjur disusupi webshell dan dibuat backdoor,  sebagaimana dihimpun KompasTekno dari ArsTechnica, Senin (8/3/2021).

Peneliti kemanan siber menyarankan agar para pengelola server Exchange untuk segera mengehentikan seluruh kegiatan pada server tersebut, kemudian dengan cermat memeriksa apakah server telah disusupi.

Di situsnya, Microsoft menerangkan indikator-indikator apa saja yang menunjukkan bahwa server menjadi korban penyusupan serta langkah-langkah mitigasinya.