Liputan6.com, Jakarta - Microsoft memperingatkan bahwa hacker China menggunakan botnet Quad7, yang disusupi dari router small office/home office (SOHO) yang diretas, untuk mencuri kredensial dalam serangan password-spray.
Router SOHO biasanya menjadi pilihan utama bagi usaha kecil menengah (UKM) yang membutuhkan koneksi internet stabil.
Advertisement
Quad7, juga dikenal sebagai CovertNetwork-1658 atau xlogin, adalah botnet yang pertama kali ditemukan oleh peneliti keamanan Gi7w0rm (terdiri dari router SOHO yang disusupi).
Laporan selanjutnya oleh Sekoia dan Team Cymru melaporkan bahwa hacker China menargetkan router dan perangkat jaringan dari TP-Link, ASUS, perangkat nirkabel Ruckus, perangkat NAS Axentra, dan peralatan VPN Zyxel.
Ketika perangkat disusupi, hacker menyebarkan malware khusus yang memungkinkan akses jarak jauh ke perangkat melalui Telnet, yang menampilkan 'banner selamat datang unik' berdasarkan perangkat yang disusupi.
Selain router yang terinstal, pelaku ancaman juga memasang server proxy SOCKS5 untuk melakukan serangan berbahaya sambil berbaur dengan tfaffic yang sah untuk menghindari deteksi keamanan.
Meskipun botnet tersebut belum dikaitkan dengan aktor ancaman tertentu, Team Cymru melacak perangkat lunak proksi yang digunakan pada router tersebut ke pengguna yang tinggal di Hangzhou, China.
Botnet Quad7 Digunakan untuk Serangan Password Spray
Microsoft mengungkapkan bahwa botnet Quad7 diyakini beroperasi dari China, dengan beberapa pelaku ancaman Hacker memanfaatkan router yang disusupi untuk mencuri kredensial melalui serangan password spray.
"Microsoft menilai bahwa kredensial yang diperoleh dari operasi password spray CovertNetwork-1658 digunakan oleh beberapa pelaku ancaman China," kata Microsoft dalam laporan baru.
"Secara khusus, Microsoft telah mengamati pelaku ancaman Tiongkok Storm-0940 menggunakan kredensial dari CovertNetwork-1658," perusahaan melanjutkan.
Saat melakukan serangan password spray, Microsoft mengatakan pelaku ancaman tidak agresif, hanya mencoba masuk beberapa kali per akun, kemungkinan untuk menghindari peringatan sistem keamanan.
"Dalam kampanye ini, CovertNetwork-1658 mengirimkan sejumlah kecil upaya masuk ke banyak akun di organisasi target," ungkap Microsoft.
"Dalam sekitar 80 persen kasus, CovertNetwork-1658 hanya melakukan satu upaya masuk per akun per hari," sambungnya.
Advertisement
Pembobolan Jaringan
Setelah kredensial dicuri, Microsoft telah mengamati Storm-0940 memanfaatkannya untuk membobol jaringan yang menjadi target, terkadang pada hari yang sama saat kredensial dicuri.
Setelah jaringan dibobol, pelaku ancaman menyebar lebih jauh melalui jaringan dengan membuang kredensial dan memasang RAT dan alat proksi untuk persistensi pada jaringan.
Tujuan akhir dari serangan ini adalah untuk mengekstrak data dari jaringan yang menjadi target, kemungkinan untuk tujuan spionase siber.
Hingga saat ini, para peneliti belum menentukan secara tepat bagaimana pelaku ancaman Quad7 membahayakan router SOHO dan perangkat jaringan lainnya.
Namun, Sekoia mengamati salah satu honeypot mereka dibobol oleh pelaku ancaman Quad7 yang memanfaatkan zero-day OpenWRT.
"Kami menunggu kurang dari seminggu sebelum mengamati serangan penting yang merantai pengungkapan file yang tidak diautentikasi yang tampaknya tidak bersifat publik saat ini (menurut pencarian Google) dan injeksi perintah," jelas Sekoia pada bulan Juli.
Bagaimana pelaku ancaman membobol perangkat lain masih menjadi misteri.
Infografis Kejahatan Siber (Liputan6.com/Abdillah)
Advertisement