keamanan siber ancaman siber serangan siber Rusia token Microsoft Office Forest Blizzard APT28 keamanan router DNS hijacking GRU peretasan Rusia

Serangan Siber Rusia Memanfaatkan Router Tua untuk Mencuri Data

Hacker yang diduga berafiliasi dengan unit intelijen militer Rusia menggunakan kerentanan pada router internet tua untuk mencuri token otentikasi Microsoft Office secara massal. Para ahli keamanan mengumumkan temuan ini hari ini. Kampanye pengintaian ini memungkinkan hacker Rusia yang didukung negara untuk menyedot token otentikasi dari lebih dari 18.000 jaringan tanpa memasang perangkat lunak atau kode berbahaya.

Forest Blizzard, Aktor Ancaman Rusia

Microsoft dalam postingan blognya mengungkapkan bahwa lebih dari 200 organisasi dan 5.000 perangkat konsumen terlibat dalam jaringan pengintaian yang dibangun oleh aktor ancaman Rusia bernama Forest Blizzard. Kelompok ini juga dikenal sebagai APT28 atau Fancy Bear, yang dikaitkan dengan Direktorat Intelijen Utama Rusia (GRU).

APT28 sebelumnya pernah menargetkan kampanye Hillary Clinton, Komite Nasional Demokrat, dan Komite Kampanye Kongres Demokrat pada 2016 dalam upaya memengaruhi pemilihan presiden AS.

Target Utama: Router Mikrotik dan TP-Link

Menurut laporan dari Black Lotus Labs, divisi keamanan penyedia internet Lumen, puncak aktivitas serangan terjadi pada Desember 2025. Pada saat itu, Forest Blizzard menjaring lebih dari 18.000 router yang sebagian besar sudah tidak didukung, tidak diperbarui, atau berada di akhir masa pakai. Router-target utama adalah perangkat Mikrotik dan TP-Link yang dipasarkan untuk pasar SOHO (Small Office/Home Office).

Metode Serangan Tanpa Malware

Ryan English, insinyur keamanan Black Lotus Labs, menjelaskan bahwa hacker GRU tidak perlu memasang malware pada router yang ditargetkan. Sebagai gantinya, mereka memanfaatkan kerentanan yang sudah diketahui untuk mengubah pengaturan Domain Name System (DNS) router. Perubahan ini memungkinkan hacker untuk mengarahkan pengguna ke server DNS palsu yang mereka kendalikan.

Serangan DNS hijacking ini memungkinkan hacker untuk menyebarkan pengaturan DNS berbahaya ke semua pengguna dalam jaringan lokal. Dengan begitu, mereka dapat mencuri token otentikasi OAuth yang dikirimkan pengguna setelah berhasil login dan melewati otentikasi dua faktor.

"Semua orang mencari malware canggih untuk menyerang perangkat, tapi kelompok ini justru menggunakan cara lama yang sederhana namun efektif," kata English. "Mereka tidak menggunakan malware. Mereka melakukannya dengan cara konvensional yang tidak terlihat mewah, tapi berhasil."

Dampak dan Rekomendasi

Serangan ini terutama menargetkan lembaga pemerintah, termasuk kementerian luar negeri, penegak hukum, dan penyedia email pihak ketiga. Para ahli menyarankan pengguna untuk segera memperbarui firmware router dan menerapkan langkah-langkah keamanan tambahan, seperti memantau perubahan pengaturan DNS secara berkala.

Langkah-Langkah Pencegahan

  • Perbarui firmware router secara rutin.
  • Gunakan kata sandi yang kuat dan unik untuk pengaturan router.
  • Nonaktifkan akses jarak jauh ke router jika tidak diperlukan.
  • Pantau perubahan pengaturan DNS secara berkala.
  • Gunakan solusi keamanan jaringan yang dapat mendeteksi aktivitas mencurigakan.
Sumber: Krebs on Security
Bagaimana Media Tiongkok Meliput Krisis Energi Iran yang Berdampak Global
← Sebelumnya

Bagaimana Media Tiongkok Meliput Krisis Energi Iran yang Berdampak Glo...

 Arizona Kehilangan 400.000 Penerima Manfaat SNAP, Ancaman Nasional Akibat UU Trump?
Selanjutnya →

Arizona Kehilangan 400.000 Penerima Manfaat SNAP, Ancaman Nasional Aki...