Peneliti keamanan dan lembaga pemerintah telah mengungkap kampanye serangan siber besar-besaran yang telah berlangsung lama dan melibatkan pembajakan ribuan router rumah dan usaha kecil. Operasi tersebut, yang terkait dengan kelompok yang disponsori negara Rusia Fancy Bear (APT 28), dirancang untuk mencegat lalu lintas internet dan mencuri kata sandi serta token akses dari pengguna yang tidak menaruh curiga di seluruh dunia.
Mekanisme Serangan: Bagaimana Router Menjadi Spyware
Para peretas tidak menargetkan komputer individu secara langsung; sebaliknya, mereka menyusupi titik masuk jaringan: router. Dengan mengeksploitasi kerentanan yang belum ditambal pada perangkat yang diproduksi oleh MikroTik dan TP-Link, penyerang mendapatkan kendali atas perangkat keras itu sendiri.
Setelah router disusupi, peretas mengubah pengaturannya untuk melakukan pengalihan gaya “man-in-the-middle”. Proses ini bekerja sebagai berikut:
1. Pengalihan Lalu Lintas: Permintaan internet sah korban secara diam-diam dialihkan melalui infrastruktur yang dikendalikan oleh peretas.
2. Spoofing: Pengguna diarahkan ke versi palsu dari situs web sah (seperti penyedia email atau portal perbankan).
3. Pencurian Kredensial: Saat pengguna memasukkan detail login mereka, peretas mengambil kata sandi dan token sesi mereka.
Mengapa ini penting: Dengan mencuri token sesi, peretas dapat melewati autentikasi dua faktor (2FA). Hal ini memungkinkan mereka untuk membajak akun daring yang aktif tanpa memerlukan kode keamanan sekunder korban, sehingga menjadikan salah satu pertahanan modern yang paling umum menjadi tidak efektif.
Skala Global: Dari Rumah Tangga hingga Instansi Pemerintah
Skala operasinya sangat luas dan ditandai oleh apa yang oleh para ahli disebut sebagai pendekatan “oportunistik”. Daripada menargetkan individu tertentu sejak awal, para peretas menggunakan jaring yang luas untuk menginfeksi sebanyak mungkin perangkat, kemudian menyaring data untuk menemukan target bernilai tinggi.
Data dari berbagai lembaga penelitian menyoroti luasnya infeksi:
– Black Lotus Labs (Lumen): Mengidentifikasi setidaknya 18.000 korban di sekitar 120 negara, termasuk penegak hukum, departemen pemerintah, dan penyedia email di Afrika Utara, Amerika Tengah, dan Asia Tenggara.
– Microsoft: Dilaporkan mengidentifikasi lebih dari 200 organisasi dan 5.000 perangkat konsumen yang terkena dampak, termasuk setidaknya tiga entitas pemerintah di Afrika.
Pelaku di Balik Kampanye
Kelompok yang diidentifikasi sebagai pelaku adalah Fancy Bear atau dikenal sebagai APT 28. Kelompok ini diyakini berafiliasi dengan badan intelijen militer Rusia, GRU.
Fancy Bear memiliki sejarah terdokumentasi mengenai spionase berisiko tinggi dan operasi yang mengganggu, terutama:
* Pelanggaran Komite Nasional Demokrat (DNC) pada tahun 2016 di Amerika Serikat.
* Peretasan destruktif tahun 2022 yang menargetkan penyedia satelit Viasat.
Penanggulangan dan Gangguan
Menanggapi kampanye ini, koalisi global termasuk FBI dan Lumen telah mengambil langkah-langkah untuk mengganggu infrastruktur para peretas. Upaya ini termasuk mematikan botnet skala besar dan mengganggu beberapa domain yang digunakan untuk memfasilitasi serangan.
Kesimpulan utama bagi pengguna adalah pentingnya pemeliharaan perangkat keras. Karena penyerang mengandalkan perangkat lunak usang dan kerentanan yang belum ditambal, banyak dari perangkat ini tetap rentan selama bertahun-tahun tanpa sepengetahuan pemiliknya.
Kesimpulan: Kampanye ini menunjukkan bagaimana penyerang semakin menargetkan infrastruktur jaringan dibandingkan perangkat pengguna akhir untuk menerobos lapisan keamanan modern seperti 2FA. Mempertahankan firmware terkini pada semua perangkat keras yang terhubung ke internet tetap menjadi pertahanan penting terhadap ancaman canggih yang disponsori negara.
