FBI Ganggu Jaringan Router DNS Hijacking GRU Rusia

FBI dan DOJ Membongkar Jaringan Router Intelijen Militer Rusia

Departemen Kehakiman AS dan FBI mengumumkan pada 7 April 2026 bahwa mereka telah menyelesaikan operasi yang diizinkan pengadilan untuk mengganggu jaringan router yang disusupi, yang digunakan oleh sebuah unit dalam Direktorat Intelijen Utama Rusia, yang lebih dikenal sebagai GRU. Operasi ini menargetkan ribuan router kantor kecil dan kantor rumah (SOHO) yang telah diam-diam dibajak untuk melancarkan serangan DNS hijacking terhadap individu dan organisasi di sektor militer, pemerintah, dan infrastruktur penting.

Skala dan metode operasi ini memberikan gambaran yang jelas tentang bagaimana aktor yang didukung negara mengeksploitasi perangkat keras konsumen yang sering diabaikan untuk menjalankan kampanye pengumpulan intelijen yang canggih.

Cara Kerja Serangan DNS Hijacking

Unit GRU mengeksploitasi kerentanan yang sudah diketahui pada router TP-Link, merek yang umum ditemukan di rumah dan usaha kecil di seluruh dunia. Setelah masuk ke dalam perangkat, para penyerang memanipulasi pengaturan DNS-nya. DNS, atau Domain Name System, adalah proses yang menerjemahkan alamat situs web seperti "example.com" menjadi alamat IP numerik yang digunakan komputer untuk terhubung. Fungsinya, pada dasarnya, seperti buku alamat internet.

Dengan mengubah pengaturan DNS pada router yang disusupi, GRU mampu mengalihkan lalu lintas melalui server yang mereka kendalikan, tanpa sepengetahuan pemilik perangkat sama sekali. Teknik ini dikenal sebagai serangan Actor-in-the-Middle. Ketika korban mencoba mengunjungi situs web yang sah atau masuk ke akun mereka, permintaan mereka diam-diam dialihkan. Karena sebagian besar lalu lintas ini tidak terenkripsi, para penyerang mampu mencuri kata sandi, token autentikasi, dan konten email dalam teks biasa.

Para korban tidak harus melakukan kesalahan apa pun. Mereka menggunakan router biasa mereka, mengunjungi situs web biasa. Serangan terjadi di tingkat infrastruktur, di bawah jangkauan visibilitas sebagian besar pengguna dan bahkan banyak tim IT.

Mengapa Router SOHO Menjadi Target yang Terus-menerus

Router kantor kecil dan kantor rumah telah menjadi titik masuk favorit bagi aktor ancaman yang canggih karena beberapa alasan. Jumlahnya banyak, sering kali kurang terawat, dan jarang dipantau. Pembaruan firmware pada router konsumen jarang dilakukan, dan banyak pengguna tidak pernah mengganti kredensial default atau meninjau pengaturan perangkat setelah penyiapan awal.

Ini bukan pertama kalinya FBI harus turun tangan untuk membersihkan jaringan router yang disusupi. Operasi serupa telah menargetkan infrastruktur botnet di tahun-tahun sebelumnya, yang melibatkan perangkat keras dari berbagai produsen. Konsistensi vektor serangan ini mencerminkan masalah struktural: router berada di batas setiap jaringan tetapi mendapat perhatian keamanan yang jauh lebih sedikit dibandingkan perangkat di belakangnya.

Operasi yang diizinkan pengadilan oleh Departemen Kehakiman melibatkan modifikasi jarak jauh pada router yang disusupi untuk memutus akses GRU dan menghapus konfigurasi berbahaya. Jenis intervensi ini jarang terjadi dan memerlukan persetujuan yudisial, yang menandakan betapa seriusnya otoritas AS memandang ancaman tersebut.

Apa Artinya Ini Bagi Anda

Jika Anda menggunakan router konsumen di rumah atau di kantor kecil, operasi ini adalah sinyal langsung bahwa perangkat keras Anda bisa menjadi bagian dari operasi intelijen tanpa sepengetahuan atau keterlibatan Anda. Serangan ini tidak mengharuskan korban mengklik tautan berbahaya atau mengunduh apa pun. Serangan ini hanya membutuhkan router mereka yang menjalankan firmware yang rentan dan lalu lintas internet mereka yang mengalir melaluinya tanpa enkripsi.

Ada langkah-langkah konkret yang layak diambil sebagai respons terhadap berita ini.

Pertama, periksa apakah router Anda memiliki pembaruan firmware yang tersedia dan terapkan pembaruan tersebut. Produsen router secara rutin menambal kerentanan yang diketahui, tetapi tambalan tersebut hanya berguna jika dipasang. Banyak router memungkinkan pembaruan otomatis diaktifkan melalui antarmuka pengaturannya.

Kedua, ubah kredensial login default pada router Anda. Sejumlah besar perangkat yang disusupi dalam operasi seperti ini diakses menggunakan nama pengguna dan kata sandi default pabrik yang terdokumentasi secara publik.

Ketiga, pertimbangkan seperti apa lalu lintas internet Anda saat meninggalkan router. Lalu lintas yang tidak terenkripsi, baik koneksi HTTP, beberapa protokol email, atau komunikasi aplikasi tertentu, dapat dibaca jika DNS Anda sedang dialihkan. Menggunakan protokol DNS terenkripsi seperti DNS-over-HTTPS (DoH) atau DNS-over-TLS (DoT) memastikan bahwa kueri DNS Anda sendiri tidak dapat disadap atau dimanipulasi oleh router yang disusupi atau server yang dilalui lalu lintasnya.

Keempat, VPN dapat memberikan lapisan perlindungan tambahan dengan mengenkripsi lalu lintas antara perangkat Anda dan server tepercaya sebelum mencapai router atau penyedia layanan internet Anda. Ini berarti bahwa meskipun DNS router Anda telah dimanipulasi, konten lalu lintas Anda tetap tidak dapat dibaca oleh siapa pun yang berada di antara Anda dan tujuan Anda.

Tidak ada satu pun dari langkah-langkah ini yang rumit atau mahal, tetapi operasi GRU ini dengan jelas menunjukkan bahwa lalu lintas yang tidak terenkripsi dan perangkat keras yang tidak diperbarui menciptakan paparan nyata bagi orang-orang nyata, bukan sekadar risiko abstrak.

Intervensi FBI telah mengganggu jaringan tertentu ini, tetapi kerentanan mendasar pada perangkat keras router konsumen tetap ada. Tetap terinformasi dan mengambil langkah perlindungan dasar adalah respons paling praktis terhadap permukaan serangan yang tidak mungkin menghilang dalam waktu dekat.