Saat Syrian Electronic Army "Membajak" The New York Times

Kilas Balik Analisis Insiden: Saat Syrian Electronic Army "Membajak" The New York Times dan Twitter via DNS

Pada Agustus 2013, lanskap siber global dikejutkan oleh tumbangnya layanan raksasa internet seperti The New York Times (NYT) dan Twitter. 

Dalang di balik serangan ini adalah kelompok peretas Syrian Electronic Army (SEA). Menariknya, peretas sama sekali tidak menyentuh infrastruktur server milik korban, melainkan mengeksekusi serangan DNS Hijacking klasik melalui rantai pasokan (supply chain).

1. Vektor Serangan: Eksploitasi Pihak Ketiga (Domain Registrar)

Alih-alih menyerang sistem pertahanan NYT yang berlapis, SEA mengincar titik terlemah, yaitu Melbourne IT, sebuah perusahaan pendaftar nama domain (registrar) asal Australia yang digunakan oleh perusahaan-perusahaan tersebut. Peretas meluncurkan kampanye spear-phishing yang menargetkan email staf (atau reseller) penyedia layanan tersebut. Begitu kredensial berhasil dicuri, peretas mendapatkan akses ke panel kontrol administrasi domain.

2. Eksekusi: Meracuni "Buku Telepon" Internet

Dengan akses level admin di Melbourne IT, SEA memodifikasi catatan DNS (DNS records) untuk domain-domain krusial korban:

nytimes.com Modifikasi DNS mengarahkan (redirect) pengunjung yang ingin membaca berita ke server berbahaya milik peretas yang menampilkan pesan propaganda SEA. Server asli NYT tetap aman, namun pengunjung disesatkan ke jalan yang salah.

twimg.com Domain ini merupakan infrastruktur krusial Twitter untuk meng-hosting gambar pengguna. Manipulasi DNS pada domain ini membuat gambar di timeline Twitter gagal dimuat selama beberapa jam.

3. Dampak dan Pemulihan yang Lambat

Pemulihan serangan DNS tidak semudah menekan tombol reset. Meskipun Melbourne IT dan perusahaan yang terdampak menyadari peretasan ini dan mengembalikan catatan DNS ke IP yang benar, pemulihan total memakan waktu berjam-jam. 

Hal ini disebabkan oleh proses propagasi DNS —waktu yang dibutuhkan oleh Internet Service Provider (ISP) di seluruh dunia untuk memperbarui cache rute internet mereka. Selama masa pemulihan, NYT terpaksa memublikasikan berita mereka melalui laman Facebook.

Kesimpulan. Postur keamanan perusahaan Anda hanya sekuat vendor terlemah yang Anda gunakan. Mengamankan server internal menjadi sia-sia jika registrar domain bisa diretas. Domain berprofil tinggi wajib menggunakan fitur Registry Lock, serta mewajibkan Autentikasi Multi-Faktor (MFA) yang ketat untuk setiap modifikasi DNS. Peretasan berskala global yang memengaruhi jutaan pengguna internet ini berawal dari satu taktik sederhana social engineering terhadap karyawan pihak ketiga.{alertSuccess}