Server Oracle PeopleSoft Diretas Kelompok ShinyHunters, Data Ratusan Organisasi Dicuri
Server Oracle PeopleSoft kini menjadi target utama dalam gelombang serangan pencurian data berskala besar yang dilancarkan oleh kelompok pemeras siber terkenal, ShinyHunters. Kelompok ini mengklaim telah berhasil membobol ratusan infrastruktur komputer milik lebih dari 100 organisasi di berbagai belahan dunia.
PeopleSoft sendiri merupakan paket perangkat lunak bisnis enterprise yang digunakan oleh perusahaan skala besar dan institusi untuk mengelola operasional krusial, mulai dari manajemen sumber daya manusia (SDM), sistem penggajian (payroll), finansial, manajemen rantai pasok, pengadaan barang, hingga administrasi kesiswaan. Mengingat fungsinya yang sangat vital, data yang tersimpan di dalam server ini memiliki nilai jual yang sangat tinggi di pasar gelap.
Aksi pembobolan ini menyasar baik instance pelanggan Oracle PeopleSoft yang berbasis cloud maupun yang terpasang di server lokal (on-premises). Para korban dilaporkan mulai menerima surat tuntutan pemerasan (extortion demands) yang ditandatangani langsung oleh kelompok ShinyHunters.
Eksploitasi Rangkaian Celah Keamanan dan Target Sektor Pendidikan
Pihak ShinyHunters mengonfirmasi bahwa mereka telah berhasil mencuri data dari sekitar 300 instance server PeopleSoft. Dalam melancarkan aksinya, kelompok ini mengaku menggunakan taktik gadget chain—sebuah teknik yang menggabungkan beberapa kerentanan lama dengan celah keamanan baru yang belum ditambal (zero-day). Kendati demikian, mereka menyebut serangan ini tidak selalu berhasil pada semua target dan sangat bergantung pada konfigurasi internal dari masing-masing instance korban.
Sebagian besar organisasi yang menjadi korban dalam gelombang serangan ini berasal dari sektor pendidikan dan universitas. Salah satu korban yang datanya telah dipublikasikan di situs pembocor data (data leak site) milik ShinyHunters adalah Nottingham University. Pihak universitas pun telah merilis pernyataan resmi yang membenarkan bahwa institusi mereka sedang mengalami insiden keamanan siber.
Selain menyasar institusi pendidikan, kelompok ini sempat mencoba membobol portal milik biro investigasi federal, FBI, yang berjalan menggunakan sistem PeopleSoft. Namun, upaya tersebut dilaporkan gagal dan mereka tidak berhasil mendapatkan akses ke dalam sistem.
Deteksi Perangkat Peretas dan Indikator Serangan
Meskipun pihak Oracle belum memberikan pernyataan resmi terkait eksploitasi celah zero-day ini, peneliti keamanan siber berhasil menemukan beberapa direktori online terbuka yang terekspos di internet dan berisi alat-alat yang digunakan oleh ShinyHunters untuk menyerang server PeopleSoft.
Di dalam direktori tersebut, ditemukan material persiapan serangan, termasuk agen MeshCentral (alat manajemen jarak jauh), serta skrip khusus untuk mengubah tampilan halaman situs (defacement) dan skrip untuk menebak kata sandi massal (credential spray).
Berdasarkan analisis terhadap berkas riwayat perintah (.bash_history) yang tertinggal di server penyerang, diketahui bahwa peretas menggunakan skrip otomatis untuk menyebarkan surat tebusan bernama README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT ke dalam direktori server aplikasi web PeopleSoft yang berhasil mereka kuasai. Skrip tersebut secara otomatis membaca file /etc/hosts untuk mengidentifikasi sistem lain yang terhubung, lalu mencoba masuk melalui jalur SSH menggunakan akun administrator umum seperti psoft, oracle, dan linuxadm. jika pencocokan kata sandi gagal, skrip akan beralih menggunakan otentikasi berbasis kunci SSH (SSH key-based).
Para administrator sistem yang mengelola Oracle PeopleSoft diimbau untuk segera memeriksa log aktivitas jaringan mereka dan mewaspadai adanya koneksi mencurigakan dari beberapa indikator serangan (Indicators of Compromise / IOC) berikut:
- Alamat IP Penyerang:
142.11.200.186sampai142.11.200.190108.174.202.99176.120.22.24
- Domain Terkait (Sertifikat TLS):
azurenetfiles.net
Langkah Penanganan Darurat
Jika indikator di atas ditemukan di dalam log jaringan perusahaan, organisasi langkah penanganan insiden (incident response) harus segera dilakukan. Pengelola TI disarankan untuk menginvestigasi sejauh mana tingkat kompromi sistem yang terjadi dan mempertimbangkan untuk memutus sementara akses internet pada server PeopleSoft yang terdampak hingga kondisi lingkungan sistem benar-benar aman dan selesai diaudit.
Sumber: Cyber Security Industry Incident Report
