Peretas Rusia Membajak Pengaturan DNS Router Rumahan

Peretas Militer Rusia Menarget Router Rumah dan Kantor

Sebuah kampanye pembajakan DNS yang canggih yang terkait dengan militer Rusia telah mengkompromikan lebih dari 5.000 perangkat konsumen dan lebih dari 200 organisasi, menurut laporan terbaru dari para peneliti keamanan siber. Aktor ancaman di balik serangan ini, yang dikenal sebagai Forest Blizzard (juga dilacak sebagai APT28 atau Strontium), memiliki keterkaitan dengan intelijen militer Rusia dan telah aktif dalam berbagai intrusi profil tinggi selama bertahun-tahun.

Metode serangan ini sederhana namun sangat efektif. Alih-alih menarget komputer atau ponsel secara langsung, kelompok ini memodifikasi pengaturan DNS pada router rumah dan kantor kecil. Begitu sebuah router berhasil dikompromikan, setiap perangkat yang terhubung ke router tersebut, laptop, ponsel, smart TV, komputer kerja, menjadi target potensial.

Cara Kerja Pembajakan DNS

DNS, atau Domain Name System, sering digambarkan sebagai buku telepon internet. Ketika Anda mengetikkan alamat situs web ke browser, perangkat Anda menanyakan server DNS untuk menemukan alamat IP numerik yang diperlukan untuk terhubung. Dalam kondisi normal, permintaan tersebut diarahkan ke server DNS tepercaya, yang sering kali disediakan oleh penyedia layanan internet Anda.

Ketika penyerang memodifikasi konfigurasi DNS sebuah router, mereka mengalihkan permintaan tersebut ke server yang mereka kendalikan. Dari sana, mereka dapat melihat dengan tepat situs mana yang sedang Anda coba kunjungi dan, dalam beberapa kasus, mencegat lalu lintas yang sebenarnya. Para peneliti menemukan bahwa metode ini memungkinkan Forest Blizzard untuk menangkap data teks biasa, termasuk email dan kredensial login dari perangkat yang terhubung ke router yang telah dikompromikan.

Hal ini sangat mengkhawatirkan karena banyak pengguna mengira komunikasi mereka terlindungi hanya karena mereka menggunakan situs web HTTPS atau layanan email terenkripsi. Namun ketika DNS dibajak di tingkat router, penyerang mendapatkan visibilitas ke dalam aliran lalu lintas dan, dalam kondisi tertentu, dapat menghapus perlindungan tersebut.

Siapa Itu Forest Blizzard?

Forest Blizzard, yang juga dikenal dengan alias APT28 dan Strontium, secara luas diatribusikan kepada badan intelijen militer GRU Rusia. Kelompok ini telah dikaitkan dengan serangan terhadap lembaga pemerintah, kontraktor pertahanan, organisasi politik, dan infrastruktur penting di seluruh Eropa dan Amerika Utara.

Kampanye ini mewakili pergeseran taktik menuju infrastruktur kelas konsumen. Router rumah dan kantor kecil sering kali diabaikan dari sudut pandang keamanan. Router-router ini jarang menerima pembaruan firmware, sering kali berjalan dengan kredensial default, dan biasanya tidak dipantau oleh tim keamanan TI. Hal itu menjadikannya titik masuk yang menarik bagi kelompok yang ingin mencegat komunikasi dalam skala besar.

Mengkompromikan router juga memungkinkan penyerang untuk mempertahankan akses yang persisten. Bahkan jika malware dihapus dari perangkat individual, router yang telah dikompromikan terus mengalihkan lalu lintas hingga router itu sendiri dibersihkan dan dikonfigurasi ulang.

Apa Artinya Ini Bagi Anda

Jika Anda menggunakan router rumah atau kantor kecil standar, kampanye ini sangat relevan bagi Anda, meskipun Anda bukan pegawai pemerintah atau target spionase yang kemungkinan besar dibidik. Skala serangan yang mencakup lebih dari 5.000 perangkat konsumen menunjukkan bahwa penargetan bersifat luas, bukan selektif.

Ada beberapa langkah praktis yang perlu dilakukan sebagai respons terhadap berita ini.

Periksa pengaturan DNS router Anda. Masuk ke panel admin router Anda (biasanya di 192.168.1.1 atau 192.168.0.1) dan verifikasi bahwa server DNS yang terdaftar adalah yang Anda kenali dan percayai. Jika Anda melihat alamat IP yang tidak dikenal dan bukan Anda yang mengaturnya, itu adalah tanda bahaya.

Perbarui firmware router Anda. Produsen router secara berkala merilis pembaruan firmware yang menambal kerentanan keamanan. Banyak router memiliki opsi untuk memeriksa pembaruan langsung di panel admin. Jika router Anda sudah berumur beberapa tahun dan produsennya tidak lagi mendukungnya, pertimbangkan untuk menggantinya.

Ubah kata sandi admin default router Anda. Kredensial default telah dipublikasikan secara luas dan merupakan salah satu hal pertama yang dicoba oleh penyerang. Kata sandi yang kuat dan unik untuk antarmuka admin router Anda secara signifikan meningkatkan hambatan untuk masuk.

Gunakan VPN dengan perlindungan kebocoran DNS. VPN merutekan lalu lintas Anda, termasuk kueri DNS, melalui terowongan terenkripsi ke server di luar jaringan lokal Anda. Bahkan jika DNS router Anda telah dimanipulasi, VPN dengan perlindungan kebocoran DNS yang tepat memastikan bahwa kueri Anda diselesaikan oleh server penyedia VPN, bukan server penyerang. Ini tidak membuat router yang dikompromikan menjadi aman, tetapi secara signifikan membatasi apa yang dapat diamati atau dicegat oleh penyerang.

Pertimbangkan menggunakan DNS terenkripsi secara independen. Layanan yang mendukung DNS over HTTPS (DoH) atau DNS over TLS (DoT) mengenkripsi kueri DNS Anda bahkan tanpa VPN, sehingga lebih sulit untuk dicegat atau dialihkan.

Kampanye Forest Blizzard adalah pengingat bahwa keamanan jaringan dimulai dari router. Perangkat yang menghubungkan rumah atau kantor Anda ke internet layak mendapat perhatian yang sama seperti komputer dan ponsel di meja Anda. Menjaga agar perangkat tersebut selalu diperbarui, dikonfigurasi dengan benar, dan dipantau bukanlah pilihan, melainkan fondasi tempat segala sesuatu lainnya berdiri. Jika Anda belum meninjau pengaturan router baru-baru ini, sekarang adalah waktu yang tepat untuk memulainya.