AS dan Delapan Negara Sekutu Peringatkan Serangan Siber Rusia ke Infrastruktur Kritis

Badan keamanan siber dari Amerika Serikat bersama delapan negara sekutu mengeluarkan peringatan bersama terkait kampanye serangan siber yang dilakukan oleh kelompok peretas negara Rusia terhadap perangkat jaringan yang rentan dan salah konfigurasi.
Peringatan ini diterbitkan oleh NSA, FBI, dan CISA, bersama 15 lembaga keamanan siber dari Australia, Inggris, Kanada, Selandia Baru, Estonia, Finlandia, Prancis, dan Italia.
Menurut investigasi mereka, serangan tersebut dikaitkan dengan Center 16 milik Federal Security Service (FSB) Rusia.
Menargetkan Router yang Masih Menggunakan Konfigurasi Lemah
Kelompok peretas yang dikenal dengan berbagai nama seperti Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard, dan Static Tundra memulai serangan dengan melakukan pemindaian terhadap alamat IP yang terhubung ke internet.
Target utama mereka adalah router yang masih menggunakan:
- Password bawaan (default password).
- Community string SNMP yang lemah atau umum digunakan.
Setelah menemukan perangkat yang rentan, pelaku mengirimkan perintah menggunakan alamat IP palsu (spoofed IP address) untuk menyalin file konfigurasi router.
Data tersebut kemudian dikirim keluar menggunakan Trivial File Transfer Protocol (TFTP) menuju server yang dikendalikan oleh pelaku.
Dengan memperoleh konfigurasi perangkat jaringan, penyerang dapat mempelajari topologi jaringan, memperoleh kredensial, hingga mempersiapkan serangan lanjutan terhadap sistem internal.
Juga Mengeksploitasi Kerentanan Cisco
Selain menyasar konfigurasi SNMP yang lemah, kelompok ini juga diketahui memanfaatkan berbagai kerentanan yang telah lama dipublikasikan.
Salah satunya adalah celah pada fitur Cisco Smart Install (SMI) yang dilacak sebagai CVE-2018-0171.
FBI sebelumnya telah memperingatkan bahwa sejak November 2021, kelompok yang sama secara aktif mengeksploitasi kerentanan tersebut pada perangkat Cisco IOS dan Cisco IOS XE.
Mereka juga diketahui memanfaatkan kelemahan pada portal web perangkat jaringan untuk memperoleh kendali atas router yang menjadi target.
Infrastruktur Kritis Menjadi Sasaran
Lembaga keamanan siber menilai sejumlah sektor memiliki tingkat risiko paling tinggi terhadap kampanye ini, meliputi:
- Energi
- Telekomunikasi
- Industri pertahanan
- Layanan kesehatan
- Sektor keuangan
- Pemerintahan pusat maupun daerah
- Infrastruktur pertahanan
Karena router umumnya menjadi gerbang utama jaringan, kompromi pada perangkat tersebut dapat membuka jalan bagi penyerang untuk mengakses sistem yang lebih sensitif.
Rekomendasi Mitigasi
Dalam advisory tersebut, organisasi disarankan segera melakukan sejumlah langkah pengamanan, antara lain:
- Menggunakan SNMPv3 yang memiliki mekanisme autentikasi dan enkripsi lebih kuat.
- Mengganti seluruh password default dengan password unik dan kompleks.
- Menonaktifkan fitur Cisco Smart Install apabila tidak digunakan.
- Memblokir lalu lintas SNMP dan TFTP dari jaringan eksternal melalui firewall.
- Memperbarui firmware dan sistem operasi perangkat jaringan ke versi terbaru.
- Mengganti perangkat yang sudah mencapai status End-of-Life (EOL).
Langkah-langkah tersebut dinilai mampu mengurangi peluang eksploitasi terhadap router yang terhubung ke internet.
Melanjutkan Aktivitas Kelompok Rusia
Peringatan ini muncul tidak lama setelah operasi internasional yang berhasil mengganggu kampanye lain yang dikaitkan dengan kelompok APT28 atau Fancy Bear.
Dalam operasi tersebut, aparat penegak hukum berhasil mengatasi kompromi terhadap sekitar 18.000 router di lebih dari 120 negara yang digunakan untuk mencuri kredensial Microsoft 365 melalui manipulasi DNS pada perangkat MikroTik dan TP-Link.
Kasus terbaru menunjukkan bahwa perangkat jaringan masih menjadi salah satu target favorit kelompok peretas yang didukung negara, terutama ketika organisasi belum menerapkan konfigurasi keamanan dasar atau masih menggunakan perangkat dengan firmware usang.
Sumber: NSA, FBI, CISA








