Bincang Cyber

Bincang Cyber


Kilas Balik CyberAttack pada Tahun 2020

December 29, 2020

Dalam beberapa kasus cyberattack, Covid19 di jadikan sebagai tema serangan. Dari mulai serangan phishing dengan menggunakan subject email covid19, hingga serangan kepada organisasi yang memberikan fokus pelayanan medis pandemic ini. Di perkirakan ada sekitar 25ribu email dan password berhasil di retas yang menimpa ketiga organisasi kesehatan WHO, the National Institute of Health (NIH), dan the Center of Disease Control and Prevention (CDC) pada April 2020. Tidak hanya mengenai insiden keamanan terkait Covid19, beberapa kejadian cyberattack di tahun 2020 yang bisa saya kumpulkan akan saya sampaikan dalam urutan bulan. Ulasan mengenai cyberattack ini sifatnya adalah merupakan pengamatan pribadi dan pastinya tidak mencerminkan keseluruhan jumlah kejadian yang terjadi pada periode tersebut. 
Malam tahun baru 2020 di warnai dengan serangan malware yang menimpa sebagian besar system Travelex, sebuah perusahaan money travel service. Meski tidak di temukan adanya kebocoran data, namun serangan malware ini memaksa Travelex untuk menshutdown systemnya agar dapat mencegah penyebaran (atau lateral movement) yang lebih luas. Dampaknya, proses yang tadinya online di pindah ke cabang di berbagai dunia untuk di kerjakan secara offline. Kasus lain adalah yang menimpa Microsoft sehubungan dengan lima server ElasticSearch mereka yang tereskpose ke Internet. Meski respon sigap dari team Security Microsoft, namun tidak berhasil mencegah 250 juta records yang telah bocor. Data yang ter-eksfiltrate ini berisi email address, IP address, dan detil support case. Kasus lain yang terjadi di bulan ini adalah kebocoran 30 juta record kartu kredit pelanggan Toserba yang bernama Wawa yang bersumber dari 850 cabang. Kejadian ini hampir di pastikan merupakan kebocoran data retail store terbesar selama tahun 2020. 



Pada bulan February 2020, perusahaan Estee Lauder mengalami kebocoran data percakapan internal email. Meski pihak perusahaan mengkonfirmasi bahwa data pelanggan tidak ikut bocor, namun keseluruhan percakapan internal yang ter-eksfiltrate mencapai 440 juta record yang di sebabkan oleh aplikasi middleware. The Defense Information Systems Agency (DISA), yang menangani pekerjaan IT untuk Gedung Putih, mengakui data breach yang berpotensi membahayakan informasi PII karyawan. Dalam hal ini, Department of Defense (DoD) tidak memberikan informasi detil mengenai insiden ini namun mereka mengkonfirmasi tidak di temukannya penyalahgunaan atas data yang ter-ekfiltrate tersebut.
Di bulan Maret 2020, perusahaan telekomunikasi US yang bernama T-Mobile men-disclose informasi tentang serangan hacker pada email akun milik karyawannya yang berpotensi menyebabkan data breach pelanggan. Data milik beberapa pelanggan seperti nama, alamat, nomor telpon, nomor account, paket langganan, dan informasi billing di perkirakan berhasil di ambil. Kasus lain pada bulan ini adalah yang menimpa Marriott. Ini merupakan insiden kedua kalinya, setelah sebelumnya di beritakan terjadi pada bulan November 2019 yang menimpa jaringan Starwood. Insiden kali ini, jumlah record yang terkena breach adalah berjumlah 5.2 juta record nasabah. Peretas mengakses data pengguna loyalty program Marriott Bonvoy setelah meretas akses login karyawan. Record ini berisi data nasabah berupa personal detail nasabah, loyalty account information, partnership information, dan preference nasabah ketika menginap. Pihak Marriott mengungkapkan serangan ini telah terjadi sejak pertengahan Januari dan bahwa data mengenai password, nomor PIN, informasi payment card, nomor passport, nomor SIM, dan nomor identitas penduduk tidak ikut terdampak.



Kemudian pada bulan April 2020, perusahaan game console Nintendo mengumumkan telah terjadi serangan account hijacking atas 160 ribu akun user yang memanfaatkan celah keamanan dari legacy login system Nintendo Network ID (atau NNID) yang masih di fungsikan untuk console lama seperti Nintendo Wii U dan Nintendo 3DS. Nintendo tidak menjelaskan detil bagaimana peretas masuk, selain menginstruksikan pelanggan untuk melakukan reset password dan memisahkan password yang di pergunakan antara console lama dan console baru. Data yang bocor dalam insiden ini adalah  nickname user, tanggal lahir, asal negara, region, dan email address. Kasus lain pada bulan ini adalah serangan hacker yang menimpa email provider di Italia yang bernama Email-dot-IT. Serangan ini berdampak pada bocornya 600 ribu record pelanggan yang kemudian di perdagangkan di DarkWeb dengan kisaran harga 0.5 hingga 3 Bitcoin (atau senilai USD 3,500 hingga USD 22,000). Selain data nasabah, peretas juga meng-klaim bahwa mereka menguasai isi pesan text yang di kirimkan melalui aplikasi provider ini. Email provider email-dot-it kemudian segera melakukan patching pada server terdampak  dan menginformasikan pihak otoritas. Selanjutnya mengumumkan bahwa serangan ini tidak berdampak pada pelanggan berbayar yang untungnya tersimpan di server terpisah.



Pada bulan May 2020,  maskapai penerbangan EasyJet terdampak data breach yang menyebabkan bocornya 9 juta record nasabah, terdiri dari informasi pribadi dan beberapa informasi terkait finansial. Serangan ini sebenarnya mulai terjadi pada Januari 2020, namun baru di infokan empat bulan kemudian. Tidak ada informasi lebih lanjut mengenai detil serangan selain dari statemen bahwa insiden tergolong sophisticated attack. EasyJet di gugat tuntutan class-action senilai Poundsterling 18 juta atau sebesar Poundsterling 2 ribu per nasabah.  Kasus lain adalah yang menimpa Blackbaud, perusahaan software dan cloud hosting. Insiden yang terjadi pada bulan May 2020 ini bisa segera di tangani namun peretas berhasil mengambil beberapa data dan file yang di simpan nasabah Blackbaud. Selain mengambil data, peretas juga menjalankan ransomware yang berhasil meng-encrypsi beberapa file dan mengancam akan menyebarkan data yang berhasil di ambil. Tidak ada opsi lain bagi Blackbaud untuk mencegah penyebaran data tersebut selain membayar ransom yang di minta peretas. Pada bulan yang sama, serangan serupa menimpa aplikasi mobile Wishbone yang berhasil di retas. Hacker yang bernama ShinyHunters berhasil mendownload 40 juta data pengguna dan kemudian di perjual belikan di DarkWeb seharga 0.85 Bitcoin (atau senilai USD 8,000). 



Tepat pada tanggal 1 Juni, The University of California at San Fransisco (UCSF) terkena ransomware pada IT system sekolah kedokterannya. Tindakan perlindungan segera di lakukan untuk mencegah penyebaran serta kerusakan lebih lanjut. Kelompok yang bernama Netwalker adalah dalang di balik aktifitas ini. Mereka kemudian mengajukan tuntutan ransom sebesar USD 3 juta, namun setelah negosiasi yang alot, kedua belah pihak akhirnya sepakat untuk pembayaran ransom sebesar USD 1,140,895 dalam mata uang Bitcoin. Pihak universitas merasa tidak ada pilihan lain dikarenakan data yang terkena ransom adalah bagian dari penelitian akademis yang di peruntukkan bagi layanan publik. Di samping berita mengenai peretasan, pada bulan Juni 2020 ini AWS mengumumkan bahwa mereka berhasil menghentikan serangan DDoS sebesar 2.3 Tbps mempergunakan layanan AWS Shield yang terjadi pada pertengahan February 2020. Ini merupakan serangan DDoS terbesar hingga September 2020. Pada bulan ini pula, serangan DDoS lainnya di laporkan oleh Akamai sebesar 1.44 Tbps namun masih di bawah besaran yang di tangani oleh AWS.



Bulan July 2020, perusahaan CouchSurfing, layanan online yang memungkinkan pengguna menemukan penginapan gratis terkena CyberAttack. Akibat serangan ini 17 juta record pengguna di perjual belikan di forum underground dan melalui channel Telegram seharga USD 700. Pada record tersebut tidak di dapatkan password pengguna, sehingga meskipun jumlah data terbilang banyak namun insiden ini di kategorikan lebih kecil daripada insiden data breach umumnya. Kasus lain adalah peretasan yang berdampak pada  130 akun Twitter dari beberapa tokoh terkenal, termasuk salah satu pendiri Microsoft Bill Gates dan CEO Tesla Elon Musk. Ini di anggap sebagai peretasan sebagai peretasan terbesar dalam sejarah platform media sosial. Peneliti dari vendor security Checkpoint yang bernama Sagi Tzaik menemukan wormable vulnerability pada Microsoft Windows Domain Name System (DNS) yang di berikan nama SigRed. Vulnerability yang dapat menyerang Windows PC dan Server ini di temukan sudah menetap pada OS Windows sejak 17 tahun lalu, ini artinya sejak versi Windows server versi 2003 hingga versi terkini di 2020. Vulnerability ini di datakan dengan code CVE-2020-1350 dan di berikan scoring 10 yang artinya sangat berbahaya. Microsoft kemudian pada tgl 14 July merilis service pack untuk menutup celah keamanan ini.



Bulan Agustus 2020 menurut saya merupakan periode yang signifikan jika di kaitkan dengan serangan ransomware Maze. Hal ini di sebabkan tidak hanya satu insiden yang terjadi terkait Maze ini. Ada tiga perusahaan yang terkena dampaknya, yaitu: Canon, LG, dan Xerox. Peretas meng-klaim mereka berhasil meng-eksfiltrate data sebanyak 50.2 GB dari jaringan internal LG, kemudian 10 GB dari Canon, dan terakhir 25.8 GB dari Xerox. Situs Image-dot-canon yang di pergunakan untuk meng-upload dan menyimpan foto sempat down karena insiden ini, meski hal ini di sanggah kelompok Maze. Threat grup Maze mengklaim bahwa kelompok mereka sudah berhasil meretas dan mendownload hampir 10TB data dengan mempergunakan ransomware besutan mereka. Selain Maze group, anonymous hacker juga menyerang situs FreePik dan FlatIcon dengan memanfaatkan celah SQL Injection vulnerability. Peretas berhasil menguasai sejumlah 8.3 juta record user yang terdaftar di kedua situs ini. Record yang berhasil di retas hanya 3.77 juta yang berisi username dan hashes password. Sebab sisanya adalah federated login dengan mempergunakan Google, Facebook atau Twitter sehingga tidak tersimpan password pada database. Baik FreePik dan FlatIcon kemudian mengirimkan email notification kepada pengguna yang terdampak agar mereka melakukan reset password.



Kasus ransomware attack yang berakibat kematian pertama kali terjadi di German pada September 2020. Gagalnya Duesseldorf University Hospital dalam menerima pasien wanita yang membutuhkan penanganan segera adalah di sebabkan pada jaringan system rumah sakit yang terserang ransomware berujung pada kematian pasien. Hal ini disebabkan pasien perlu di larikan ke rumah sakit lain yang berjarak 30 km lebih jauh. Setelah mendengar dampak kematian pasien, peretas kemudian membatalkan tuntutan ransom mereka dan memberikan alat untuk men-decrypt kembali file-file dari 30 server rumah sakit yang telah di kuasai sebelumnya. Investigasi lebih lanjut di lakukan oleh kepolisian German mengingat bahwa ini adalah kasus pembunuhan. Dan berkaitan hal ini, pemerintah German kemudian mengumumkan untuk menutup celah keamanan CVE-2019-19871 yang biasanya dijadikan celah masuk ransomware. Masih di bulan September, Departemen Kehakiman US mengumumkan tiga warga negara Iran telah didakwa atas tuduhan meretas perusahaan ruang angkasa dan satelit AS. Setelah sebelumnya juga pada bulan September, Departemen Kehakiman US juga mengumumkan bahwa kelompok peretas berbahasa China yang di indikasikan tergabung dalam kelompok APT41 dan dua hacker Rusia berhasil mencuri USD 16.8 juta dalam mata uang cryptocurrency dengan memanfaatkan situs phishing. 



Tanggal 10 October 2020, Barnes and Noble toko buku online di US mengkonfirmasi bahwa mereka mengalami insiden cyberattack yang berdampak pada system Point-of-Sale mereka dan Nook service yang merupakan layanan buku digital. Pengguna Nook melalui social media, mengkonfirmasi bahwa mereka kesulitan untuk mengakses. Sementara beberapa pelanggan lain menyampaikan bahwa buku digital yang mereka telah beli kini menghilang dari perangkat mereka. Dalam serangan ini, data seperti email address, telepon, history pembelian, billing, hingga alamat pengiriman berhasil di download oleh peretas. Setelah kejadian ini, ransomware group yang bernama Egregor mempublikasikan di DarkWeb data pelanggan yang di claim adalah milik Barnes and Noble. Selain Barnes and Noble, dua produsen game terkemuka, Ubisoft dan Crytek. Peretas bahkan memberikan sample data hasil retasan bahkan meng-klaim mereka telah meng-encrypt data-data milik Crytek serta memiliki source code dari Legion game yang tidak lama lagi akan di rilis. Kasus lain dalam bulan October adalah Google melaporkan telah mengatasi serangan DDoS sebesar 2.54 Tbps yang menyerang jaringan mereka. Setelah sebelumnya di bulan Juni, AWS melaporkan serangan 2.3Tbps yang secara jelas menunjukkan bahwa serangan DDoS terus mengalami peningkatan intensitas.



Bulan November 2020, perusahaan produsen game asal Osaka Jepang yang bernama Capcom pada tanggal 4 November mengumumkan bahwa salah satu member group mereka mengalami kejadian cyberattack dengan target email dan file server. Selanjutnya, Capcom menjelaskan bahwa tidak ada data pelanggan yang terdampak serangan ini. CyberAttack ini di sebabkan oleh Ragnar Locker ransomware. Kasus lain pada bulan ini adalah serangan pada grup aerospace dan defence dari Brazil yang bernama Embraer telah menjadi sasaran cyberattack. Serangan yang mengarah pada internal system telah menyebabkan partial interuption yang di sebabkan oleh ransomware. Sehingga untuk mencegah penyebaran yang lebih luas, perlu di lakukan isolasi dan upaya contigency. Serangan merupakan yang terburuk dan terkoordinasi dengan mentargetkan layanan public sector di Brazil.



Pada penghujung tahun 2020 kita menemukan sebuah teknik penyerangan supply chain attack yang di sebabkan oleh malware yang menyusup pada platform Orion milik Solarwind. Malware yang di beri nama Sunburst ini membuat backdoor yang di jadikan sebagai attack vector.  Keunikan dari teknik supply chain ini terletak pada cara malware ini terdistribusi. Jika pada umumnya malware tersebar setelah peretas memanfaatkan vulnerability yang ada sebelumnya, dalam kasus Solarwind ini justru malware ini menyusup dengan memanfaatkan mekanisme update system. Inilah mengapa di sebut sebagai supply chain attack. Setelah malware tersebar, setidaknya dalam kasus Solarwind ini terdapat 18ribu target yang teridentifikasi, termasuk di dalamnya institusi pemerintahan serta blue chip company. Dampak kerusakan yang di hasilkan pun tidak sedikit, di tambah hampir di pastikan malware ini sudah masuk ke dalam platform Orion milik Solarwind sejak Maret 2020 yang lalu. Kini seluruh pelanggan dan pengguna platform Solarwinds perlu melakukan preventative terhadap potensi kerusakan sejak saat ini hingga mungkin potensi ke depannya jika masih di temukan rentetan lain atas supply chain attack ini.



Dari insiden yang telah saya paparkan di sini mungkin kita bisa sama-sama melihat kompleksitas serangan yang terjadi selama tahun 2020. Hasil penelitian yang di lakukan oleh Forester mengungkap bahwa 80% serangan cyberattack di mungkinkan karena kebocoran akses dan privilege escalation. Apa yang terjadi selama dekade terakhir adalah sesuai dengan batasan pemahaman kita terhadap cybersecurity. Bahwa masih banyak yang mengandalkan layer atau lapisan perlindungan keamanan, namun ini sudah terbukti semakin tidak menjamin kecukupan pengamanan. Dinamisasi serangan perlu lebih dari sekedar mempersiapkan benteng pertahanan, namun juga bagaimana kita melihat pergeseran trends sebagai wujud pendekatan yang bersifat predictive. Hal ini akan memperluas cakupan domain cybersecurity sehingga menjangkau ranah-ranah keilmuan lain, seperti bigdata dan artificial intelligence. Saya akan mencoba mengulas pengamatan pribadi saya tentang beberapa hal yang bisa di jadikan gambaran terhadap trends di tahun 2021 pada episode podcast berikutnya. Namun sebagai penutup episode ini, saya ingin berbagi insight bahwa di tahun 2021 nanti; vendor cybersecurity akan berlomba untuk mempercepat bagaimana AI dan Machine Learning bisa menggabungkan wawasan manusia dan kecerdasan mesin sehingga bermanfaat untuk menekan inovasi yang di lakukan peretas serta secara kontinu meningkatkan pertahanan berbasiskan Artificial Intelligence. 


The post Kilas Balik CyberAttack pada Tahun 2020 written by Faisal Yahya appeared first on Bincang Cyber.