Para script kiddies dan cyber crime di dunia dilaporkan sudah mulai mengeksploitasi menggunakan tools hacking NSA. Tools hacking NSA disini merupakan tools yang dibocorkan pada akhir pekan lalu. Pengeksploitasian ini berhasil menyerang ratusan ribu komputer Windows rentan yang terpapar di Internet.
Beberapa pekan lalu, kelompok hacking misterius yang dikenal dengan Shadow Brokers membocorkan satu set alat hacking Windows. Yang mana menargetkan Windows XP, Windows Server 2003, Windows 7 dan 8, dan Windows 2012, yang diduga milik Equation Group NSA.
Pemindaian Internet Secara Massal Terhadap Penggunaan Tools Hacking NSA Sudah Dilakukan Oleh Berbagai Pakar Keamanan
Beberapa periset keamanan telah melakukan pemindaian Internet massal selama beberapa hari terakhir. Mereka menemukan puluhan ribu komputer Windows di seluruh dunia terinfeksi DoublePulsar, dugaan implan spying NSA. Hal ini merupakan akibat dari perilisan tool gratis yang diluncurkan di GitHub. Tentu saja, siapapun bisa menggunakannya.
Peneliti keamanan dari perusahaan keamanan yang berbasis di Swiss Binary Edge melakukan pemindaian Internet. Dan mendeteksi lebih dari 107.000 komputer Windows yang terinfeksi DoublePulsar.
Pemindaian terpisah yang dilakukan oleh CEO Errata Security, Rob Graham mendeteksi sekitar 41.000 mesin yang terinfeksi. Sementara yang lainnya oleh periset dari Below0day mendeteksi lebih dari 30.000 mesin yang terinfeksi. Dan perangkat yang terinfeksi sebagian besar berlokasi di Amerika Serikat.
30,626 instances of #DOUBLEPULSAR implant detected! #shadowbrokers #infosec pic.twitter.com/pDKnsOB2Vv
— Below0Day (@below0day) April 20, 2017
Apa itu DoublePulsar?
DoublePulsar adalah backdoor yang digunakan untuk menginjeksi dan menjalankan kode berbahaya pada sistem yang sudah terinfeksi. Dan diinstal menggunakan eksploitasi EternalBlue yang menargetkan layanan berbagi file SMB pada Microsoft Windows XP ke Server 2008 R2.
Untuk penyerangan ini, target harus menjalankan versi Windows OS yang rentan dengan layanan SMB yang terbuka bagi penyerang.
Setelah terinstal, DoublePulsar menggunakan komputer yang dibajak untuk menebar malware, spam online, dan melancarkan serangan cyber lebih lanjut terhadap korban lainnya. Untuk tetap tidak terdeteksi, backdoor tidak menulis file apapun ke PC yang terinfeksi, mencegahnya bertahan setelah PC yang terinfeksi di-reboot.
Sementara ini Microsoft telah menambal sebagian besar kelemahan yang dieksploitasi pada sistem operasi Windows yang terkena dampak. Namun mereka belum pernah menambal kerentanan terhadap eksploitasi seperti EternalBlue, EternalChampion, EternalSynergy, EternalRomance, EmeraldThread, dan EducatedScholar.
Apalagi sistem yang masih menggunakan platform end-of-life seperti Windows XP, Windows Server 2003, dan IIS 6.0. Yang mana versi-versi tersebut tidak lagi mendapat update keamanan, pastinya juga rentan terhadap eksploitasi di alam bebas.
Setelah berita terkait pengeksploitasian ini mulai ricuh, pejabat Microsoft hanya mengeluarkan sebuah pernyataan yang mengatakan: “Kami meragukan keakuratan laporan dan investigasi tersebut.” Wtf bingits bro!
