Hacker Berhasil Menjebol Server VPN

Ada Sebuah berita baru yang baru-baru ini diterbitkan oleh para peneliti keamanan cyber yang menyatakan sebuah bukti dari pemerintah Iran yang disponsori oleh puluhan perusahaan serta organisasi di Israel tentang kampanaye Mata-mata atau spionase cyber yang dinamakan "Fox Kitten" tengah menyasar dan menyerang perusahaan-perusahaan IT, telekomunikasi, pemerintahan, penerbangan dan di sektor keamanan.

Adanya Pengintaian atau mata-mata ini sudah tersebar di internet yang berkamuflase berbasis platform sebagai alat penyebarannya dan nantinya dapat mengaktifkan pengistalan otomatis malware seperti Dustman dan Zerocleore.

Menyebarnya malware baru ini tidak lain dengan tujuan mencuri data-data informasi sensitif demi kepentingan mereka. Sang penyebar malware ini merupakan kelompok hacker iran (Iranian Hacker) yang mampu mengeploitasi aplikasi VPN yang dapat menembus dan mencuri data atau informasi dari perusahaan target.

Sistem VPN tersebut di ekploitasi dengan teknik (CVE-2019-11510), (CVE-2018-13379), (CVE-2019-19781). Menurut para peneliti, si hacker ini dapat mengakses sistem pusat atau inti dari targetnya. Dan menanam sebuah malware lalu menyebar ke seluruh jaringan dengan cara mengekploitasi.

Dilansir dari thehackernews Hacker tersebut berhasil mendapatkan kendali dan kontrol penuh (C2) yang nantinya akan mendownload beberapa file VBscript yang di pakai untuk menanamkan Backdoor dalam sistem target. Selain itu, backdoor tersebut akan di download secara potongan atau bagian saja, sehingga dapat menghindari deteksi oleh software antivirsus yang dipasang pada komputer yang sudah terinfeksi.

File download yang dinamai combine.bat akan secara otomatis membuat file executable untuk menjalankan backdorrnya. Untuk menjalankan tugas-tugasnya, Para hacker ini akan mengeploitasi dengan menggunakan sebuah tools atau alat mislanya Juicy Potato dan Invoke The Hash untuk mendapatkan akses untuk bergerak pada jaringan. Berikut beberapa tools yang sudah dikembangkan oleh hacker tersebut.

Tidak hanya itu saja, Hacker tersebut juga memakai WebShell agar dapat mudah konek ke Webserver target dan mengunggah file secara langsung ke Server C2.

Setelah Hacker berhasil mendapatkan kemampuan masuk kesebuah jaringan, maka para hacker tersebut akan bergerak pada tahap akhir: yaitu menjalankan sebuah backdoor untuk menscan sistem dengan tujuan mendapatkan informasi yang diinginkan dan membuat koneksi jarak jauh  (menggunakan software yang sudah dikembangkan oleh POWSSHNET) atau membuka socket-alamat IP address.

Selain Cara kerja diatas, hacker iran ini terbagi menjadi membagi 3 kolompok diantaranya - APT33 ("Elfin"), APT34 ("OilRig") dan APT39 (Chafer ). Dan pada bulan lalu, para hacker tersebut di dukung oleh pemerintah IRAN yang dijuluki dengan "Magnallium" yang menyerang sistem utilitas Listrik Amerika dan perusahaan minyak serta Gas.

Mengingat jika para Hacker Iran ini juga sudah mengetahui titik lemah dari VPN, Memang sangat penting bagi pemilik perusahaan VPN agar secepatnya memberikan sebuah Patch keamanan terbaru agar tidak di serang lagi.