Operasi OpsPatuk DragonForce Malaysia dan Mitigasinya

Pada 6 Juni 2022, operasi 'OpsPatuk' dimulai. Sebagai balasan atas pernyataan kontroversial yang dibuat oleh juru bicara BJP, organisasi hacktivist Malaysia DragonForce mulai menyerang India pada saat itu.

 

Operasi ini telah meretas ke lebih dari ribuan situs web pada tulisan ini dan terus mencantumkan target tambahan di berbagai saluran media sosial, termasuk Telegram, Twitter, WhatsApp dan situs web DragonForce mereka sendiri.

Lembaga keuangan, lembaga pemerintah, dan lembaga pendidikan termasuk di antara banyak sektor yang diserang. System 021 juga telah mengidentifikasi perusahaan hosting sebagai target utama, yang memungkinkan penyerang meretas situs web pelanggan mereka. Selanjutnya, organisasi ancaman telah mengundang kelompok peretas lain untuk berpartisipasi dalam operasi tersebut.

Hacktivism mengadvokasi agenda politik atau perubahan sosial di Internet menggunakan teknik pembangkangan sipil berbasis komputer seperti peretasan. Sementara akar dari hacktivism dapat ditelusuri kembali ke tahun 1990-an, orang-orang di seluruh dunia baru belakangan ini mulai merangkul strategi ini secara besar-besaran, karena meningkatnya era digitalisasi dan perubahan paradigma yang disebabkan oleh pandemi COVID-19 di seluruh dunia.

System 021 mengawasi dengan cermat acara OpsPatuk dan akan memberikan pembaruan saat acara berlangsung. Selain itu, saran berikut berisi rincian tentang operasi dan langkah-langkah yang dapat diambil untuk memitigasi risiko.

Apa itu OpsPatuk?

DragonForce Malaysia telah meluncurkan kampanye baru yang disebut OpsPatuk. Operasi ini, seperti semua yang dilakukan oleh kelompok hacktivist ini, bersifat reaktif dan sebagai tanggapan atas kutukan juru bicara Partai Bharatiya Janata (BJP) yang kontroversial Nupur Sharma terhadap Nabi Muhammad SAW. Sebagai tanggapan, DragonForce Malaysia telah mulai scanning, defacing, dan mengeksekusi serangan Distributed Denial-of-Service (DDoS) secara acak terhadap beberapa situs web di India, dengan dukungan dari beberapa kelompok peretas lainnya. Pelaku ancaman yang lebih maju telah terlihat mengeksploitasi eksploitasi yang terbaru, menyusup ke jaringan, dan leaking data.

Vektor Serangan yang Paling Umum Digunakan 

Sebagai bagian dari OpsPatuk, anggota DragonForce Malaysia dan kelompok peretas lainnya mulai menargetkan banyak perusahaan dan sumber daya pemerintah di India dengan defacements, serangan distributed denial-of-service, dan data leak pada 10 Juni 2022. Pada saat publikasi, operasi ini masih berlangsung.

Defacement

Sejak kampanye dimulai pada 10 Juni, System 021 telah mengamati beberapa defacements di seluruh India oleh DragonForce Malaysia dan kelompok peretas lainnya. Menurut pencemaran nama baik, juru bicara BJP India, Nupur Sharm, menghina Nabi Muhammad SAW dan bahwa negara itu menganiaya komunitas Muslimnya. Dalam defacement, DragonForce Malaysia menegaskan bahwa pada akhirnya akan mengalahkan India, tetapi tidak menjelaskan tujuan utamanya.

Selain banyak defacements DragonForce Malaysia, beberapa kelompok peretas dari negara lain. Sebuah kelompok hacktivist Indonesia, seperti Hacktivist of Garuda, One Hat Cyber Team, FoursdeathTeam, Tatsumi Crew Team, dan lain-lain, terlihat bekerja sama dengan DragonForce merusak beberapa situs web di seluruh India.

#OpsPatuk Hacked Thane Police website ☝️ https://t.co/aDF4V59br1https://t.co/JEjqkQHZOShttps://t.co/dYJkCBQJld pic.twitter.com/ACWgtZZ2NC

— DragonForceIO (@DragonForceIO) June 14, 2022

Serangan DDoS

DragonForce Malaysia, seperti dalam operasi sebelumnya, menggunakan iklan yang dirancang dengan baik yang memberikan rincian target untuk membujuk pengikut untuk bergabung dengan operasi. Acara tersebut dipublikasikan di forum DragonForce Malaysia dan disebarluaskan di media sosial. Kampanye DDoS dari kelompok ancaman biasanya diumumkan kurang dari 24 jam sebelumnya. Selain serangan resmi, "lone-wolfs" kemungkinan akan meluncurkan serangan DDoS yang tidak terduga saat operasi berlangsung.

DragonForce Malaysia tidak dianggap sebagai kelompok ancaman yang maju atau gigih, juga tidak dianggap canggih saat ini. Namun, di mana mereka kekurangan kecerdasan, mereka mengimbangi kemampuan organisasi dan kapasitas untuk mengkomunikasikan pengetahuan secara efisien kepada anggota lain. Selama #OpsPatuk, aktor ancaman menggunakan toolkit normal DragonForce Malaysia, termasuk namun tidak terbatas pada Slowloris, DDoSTool, DDoS-Ripper, Hammer, dan banyak script tambahan yang biasa ditemukan di repositori open source seperti GitHub. Sampai saat ini, kelompok ancaman belum diamati menggunakan botnet IoT.

Data Leak

Sejak awal kampanye, DragonForce Malaysia dan Hacktivist of Garuda telah mengklaim membocorkan banyak data. Kebocoran data seringkali sulit untuk diautentikasi dan dilacak kembali ke sumbernya. Saat ini, kelompok peretas lainnya mengklaim telah menyusup dan mengekspos data dari berbagai lembaga pemerintah, departemen kepolisian, lembaga keuangan, layanan VPN, perguruan tinggi, service provider, dan database India lainnya.

CVE-2022-26134 Atlassian Confluence (RCE)

Atlassian mengeluarkan nasihat keamanan pada 3 Juni 2022, menyoroti kerentanan zero-day yang memengaruhi versi Server Confluence dan Data Center. Penyerang yang tidak diautentikasi mungkin mengeksploitasi kerentanan Remote Code Execution (RCE) untuk mengeksekusi kode arbitrer pada contoh Server Confluence atau Data Center. Sebelum Atlassian dibuat sadar akan kerentanan, CVE-2022-26134, ditemukan dieksploitasi secara aktif di alam liar.

Langkah Apa yang Harus Diambil Perusahaan untuk Memitigasi Risikonya?

Kelompok hacktivist seperti DragonForce sering mempublikasikan peristiwa tertentu, oleh karena itu mereka harus cepat menyerang target mereka untuk menyampaikan pesan mereka secepat mungkin. Karena keterbatasan waktu ini, mereka mengandalkan tindakan yang sangat mendasar tetapi sangat terlihat seperti serangan DDoS dan defacement website. Namun, kami mengantisipasi bahwa kelompok ini akan menggunakan metode yang lebih konvensional, seperti kerentanan publik dan kredensial yang dicuri, dalam waktu dekat.

Oleh karena itu, kami mendesak perusahaan untuk mempertimbangkan saran di bawah ini untuk membatasi vektor serangan yang paling umum untuk meningkatkan respons mereka terhadap hacktivisme.

• Lakukan threat hunting menyeluruh menggunakan akun yang diretas. Periksa log AV/EDR dan SIEM untuk mencari aktivitas yang mencurigakan.
• Setelah sistem yang disusupi ditemukan, isolasi dan gambar ulang.
• Kata sandi pengguna yang diretas harus diubah.
• Beri tahu pengguna tentang aktivitas tersebut dan sarankan mereka untuk mengubah kata sandi mereka di profil publik lainnya, serta mengatur otentikasi dua faktor bila memungkinkan.
• Perusahaan harus melakukan pelatihan kesadaran keamanan secara teratur untuk membantu staf mereka meningkatkan keamanan operasional mereka. Jenis pelatihan ini harus menjamin bahwa pengguna :
• Menyadari bahaya yang terkait dengan penipuan online
• Sadar bahwa mereka tidak boleh mengungkapkan OTP mereka
• Memahami metode yang digunakan oleh aktor jahat
• Menyadari setiap perilaku mencurigakan di jaringan mereka dan tahu kepada siapa harus melaporkannya dalam perusahaan