Peretas membobol server National Games of China beberapa hari sebelum acara

idNSA.id - Sebuah kelompok peretas berbahasa China yang tidak disebutkan namanya mengkompromikan sistem di National Games of China pada tahun 2021.

Para peneliti di perusahaan keamanan siber Avast menemukan bahwa pelaku ancaman berbahasa China telah mengganggu sistem di National Games of China pada tahun 2021. Acara tersebut berlangsung pada 15 September 2021 di Shaanxi (China), itu adalah versi nasional dari Olimpiade dengan hanya atlet lokal.

Para penyerang melanggar server web pada 3 September dan menyebarkan beberapa reverse web shells untuk membangun pijakan permanen di jaringan target.

Para ahli memperhatikan bahwa pelaku ancaman memulai fase pengintaian pada bulan Agustus, mereka telah melakukan beberapa tes untuk menentukan jenis file mana yang mungkin untuk diunggah ke server. Untuk melakukan tes, penyerang tampaknya telah mengeksploitasi kerentanan di server web.

Penyerang mencoba mengirimkan file dengan berbagai jenis file dan juga ekstensi file, seperti gambar yang sah dengan ekstensi file yang berbeda: ico, lua, js, luac, txt, html, dan rar.

“Setelah mendapatkan pengetahuan tentang jenis file yang diblokir dan diizinkan, mereka mencoba mengirimkan kode yang dapat dieksekusi. Tentu saja, mereka mulai mengirimkan PoC daripada langsung mengeksekusi webshell karena mengirimkan PoC lebih tersembunyi dan juga memungkinkan seseorang untuk mendapatkan pengetahuan tentang apa yang boleh dilakukan oleh malicious kode.” dilaporkan Avast. “Misalnya, salah satu file yang diunggah adalah skrip Lua yang disamarkan sebagai gambar (20210903-160250-168571-ab1c20.jpg)”

Penyerang mengonfigurasi ulang server web dengan mengunggah file konfigurasi, disamarkan sebagai PNG

file yang memungkinkan eksekusi skrip lua. Para ahli menemukan bukti bahwa server dikonfigurasi untuk mengeksekusi utas baru di kumpulan utas yang tidak berfungsi untuk  webshell Rebeyond Behinder. Kemudian, sebagai muatan terakhir, penyerang mengunggah dan menjalankan seluruh server Tomcat yang dikonfigurasi dan dipersenjatai dengan benar dengan Rebeyond Behinder.

Setelah mendapatkan akses ke server, penyerang mencoba melakukan gerakan lateral dengan layanan brute-forcing dan menggunakan eksploitasi secara otomatis. Penyerang dapat mengunggah beberapa tools (dnscrypt-proxy, fscan, mssql-command-tool, behinder) ke server dan menjalankan pemindai jaringan (fscan) dan kerangka eksploitasi satu klik khusus yang ditulis dalam Go dan didistribusikan sebagai single binary.

“Prosedur yang diikuti oleh para penyerang meretas Pesta Olahraga Nasional ke-14 China bukanlah hal baru sama sekali. Mereka memperoleh akses ke sistem dengan mengeksploitasi kerentanan di server web. Ini menunjukkan perlunya memperbarui perangkat lunak, mengonfigurasinya dengan benar, dan juga menyadari kemungkinan kerentanan baru dalam aplikasi dengan menggunakan pemindai kerentanan.” kesimpulan laporan. “Penanganan keamanan paling mendasar bagi para pembela HAM terdiri dari menjaga infrastruktur tetap mutakhir dalam hal patching. Terutama untuk infrastruktur yang menghadapi Internet.”

Avast melaporkan bahwa pelanggaran keamanan tampaknya telah diselesaikan sebelum permainan dimulai, namun, para ahli tidak dapat menentukan jenis informasi yang dieksfiltrasi oleh pelaku ancaman.