Peretas yang didukung Iran menyusup ke agen federal AS yang gagal menambal bug lama

hapusen7 Views

Badan keamanan dunia maya pemerintah AS mengatakan peretas yang didukung pemerintah Iran melanggar agen federal yang gagal melawan Log4Shell, kerentanan yang ditambal hampir setahun yang lalu.

Dalam peringatan yang diterbitkan Kamis, Cybersecurity and Infrastructure Security Agency mengatakan peretas pemerintah Iran melanggar sebuah organisasi di bawah Cabang Eksekutif Sipil Federal (FCEB) pada awal Februari.

CISA tidak menyebutkan agensi FCEB mana yang diretas, daftar yang mencakup orang-orang seperti Departemen Keamanan Dalam Negeri, Departemen Keuangan, dan Komisi Perdagangan Federal.Juru bicara CISA Michael Feldman menolak berkomentar ketika dihubungi oleh TechCrunch.

CISA mengatakan pertama kali melihat aktivitas yang dicurigai pada jaringan badan federal yang tidak disebutkan namanya beberapa bulan kemudian pada bulan April saat melakukan analisis retrospektif menggunakan Einstein, sistem deteksi intrusi yang dijalankan pemerintah yang digunakan untuk melindungi jaringan badan sipil federal. Badan tersebut menemukan bahwa peretas mengeksploitasi Log4Shell, kerentanan kritis dalam perangkat lunak log4j sumber terbuka di mana-mana, di server VMware Horizon yang belum ditambal untuk mendapatkan akses mentah ke jaringan perusahaan dengan akses administrator dan akses seluruh sistem.

VMware merilis tambalan keamanan untuk server Horizon pada bulan Desember. Tetapi kompromi ini terjadi meskipun CISA memerintahkan semua lembaga sipil federal untuk menambal sistem mereka yang terkena kerentanan Log4Shell pada tanggal 23 Desember.

Begitu berada di jaringan organisasi, CISA mencatat bahwa pelaku ancaman telah menginstal XMRig, program penambangan kripto sumber terbuka yang biasanya disalahgunakan oleh peretas untuk menambang mata uang virtual di komputer yang disusupi. Penyerang juga memasang Mimikatz, alat pencurian kredensial sumber terbuka, untuk mengumpulkan kata sandi dan membuat akun administrator domain baru. Dengan menggunakan akun yang baru dibuat ini, para peretas menonaktifkan Windows Defender dan menanam agen balik Ngrok di beberapa host untuk mempertahankan akses mereka di masa mendatang.

Baca juga :  Sepotong kerak bumi berusia 4 miliar tahun telah ditemukan di bawah Australia

Penyerang juga mengubah kata sandi untuk akun administrator lokal di banyak host sebagai cadangan jika akun administrator domain jahat ditemukan dan dihentikan.

Tidak jelas mengapa para peretas menargetkan Badan Federal AS. Akses luas ke jaringan organisasi dapat digunakan untuk spionase maupun serangan yang menghancurkan.

CISA, yang tidak mengaitkan pelanggaran tersebut dengan kelompok ancaman persisten tingkat lanjut (APT) tertentu, membagikan Indikator Kompromi (IOC) untuk membantu pembela jaringan mendeteksi dan melindungi dari kompromi serupa. CISA juga mengatakan bahwa organisasi yang belum menambal sistem VMware terhadap Log4Shell harus menganggap Log4Shell telah dikompromikan dan menyarankan mereka untuk mulai mencari aktivitas berbahaya di dalam jaringan mereka.

Agensi juga mendesak organisasi untuk selalu memperbarui semua perangkat lunak, dan menerapkan serta mencegah pengguna menggunakan kata sandi yang diretas.