Ancaman keamanan siber semakin meresahkan dengan adanya laporan bahwa sebuah penyedia layanan internet (ISP) telah terinfeksi malware melalui pembaruan perangkat lunak yang tercemar.
Kelompok peretas Tiongkok yang dikenal sebagai StormBamboo atau Evasive Panda, Daggerfly, dan StormCloud, telah menggunakan metode ini untuk menargetkan ISP dan menyebarkan malware ke perangkat Windows dan macOS korban.
ISP Terjangkit Malware yang Dilancarkan Oleh StormBamboo
StormBamboo adalah kelompok peretas yang telah aktif sejak 2012, berfokus pada kegiatan mata-mata siber. Mereka telah menargetkan organisasi di Tiongkok daratan, Hong Kong, Makau, Nigeria, serta berbagai negara di Asia Tenggara dan Timur.
Dengan memanfaatkan pembaruan perangkat lunak yang tidak aman, kelompok ini berhasil menyebarkan malware tanpa interaksi pengguna.
Metode Serangan StormBamboo
StormBamboo mengeksploitasi mekanisme pembaruan perangkat lunak yang menggunakan HTTP tidak aman dan tidak memvalidasi tanda tangan digital.
Dalam serangannya, mereka mengubah dan meracuni permintaan DNS korban dengan alamat IP berbahaya yang mengarah ke server pengendalian mereka. Ini memungkinkan malware seperti MACMA dan POCOSTICK (juga dikenal sebagai MGBot) diinstal di perangkat korban.
Studi Kasus: 5KPlayer dan Tencent QQ
Salah satu contoh serangan adalah ketika StormBamboo memanfaatkan permintaan pembaruan dari 5KPlayer untuk menginstal aplikasi youtube-dl yang telah disusupi dengan backdoor.
Selain itu, pada April 2023, kelompok ini juga menyebarkan backdoor Pocostick (MGBot) melalui mekanisme pembaruan otomatis aplikasi perpesanan Tencent QQ, menargetkan organisasi non-pemerintah internasional (NGO).
Dampak dan Respon ISP yang Terjangkit Malware
Dalam kasus terbaru, StormBamboo juga memasang ekstensi Google Chrome berbahaya (ReloadText) untuk mencuri cookie browser dan data email.
Setelah terdeteksi, perusahaan keamanan siber Volexity bekerja sama dengan ISP yang terinfeksi untuk menyelidiki perangkat kunci yang menyediakan layanan routing.
Dengan mem-boot ulang dan mematikan beberapa komponen jaringan, ISP tersebut berhasil menghentikan serangan DNS poisoning.
Serangan Terkini dan Tren Masa Depan
Pada Juli 2024, tim pemburu ancaman Symantec melaporkan bahwa StormBamboo menargetkan sebuah NGO Amerika di Tiongkok dan beberapa organisasi di Taiwan. Mereka menggunakan varian malware terbaru, yaitu Macma untuk macOS dan Nightdoor untuk Windows.
Para peneliti memperkirakan bahwa serangan ini merupakan bagian dari serangan rantai pasokan atau serangan adversary-in-the-middle (AITM), meskipun metode serangan yang tepat belum dapat dipastikan.
Langkah Pencegahan
Untuk melindungi dari serangan semacam ini, penting bagi ISP dan penyedia perangkat lunak untuk:
- Memvalidasi Pembaruan: Pastikan semua pembaruan perangkat lunak divalidasi dengan tanda tangan digital.
- Penggunaan HTTPS: Ganti penggunaan HTTP dengan HTTPS untuk meningkatkan keamanan transfer data.
- Pemantauan DNS: Aktifkan pemantauan DNS untuk mendeteksi aktivitas mencurigakan.
- Pelatihan Keamanan: Tingkatkan kesadaran keamanan siber di kalangan staf dan pengguna.
Kesimpulan
Serangan StormBamboo menunjukkan betapa pentingnya keamanan dalam mekanisme pembaruan perangkat lunak. ISP dan organisasi lainnya harus meningkatkan protokol keamanan mereka untuk melindungi dari ancaman yang semakin kompleks dan canggih ini. Dengan langkah-langkah pencegahan yang tepat, risiko terjangkit malware dapat diminimalkan.
Dengan memahami ancaman ini dan mengambil tindakan yang tepat, kita dapat meningkatkan keamanan siber dan melindungi data dari serangan yang merugikan.
Semoga para Internet Service Provider di Indonesia khususnya yang berada pada naungan APJII dapat mencegah terjadinya serangan malware seperti yang dilancarkan oleh StormBamboo ini dengan memperkuat infrastruktur teknologi informasi mereka.
