blog.fcuzhhorod.com

MANILA, Filipina – Serangan dunia maya terhadap situs grup berita ABS-CBN News, Rappler, dan Vera Files mungkin diprakarsai oleh kelompok yang sama karena mereka membawa ciri serangan yang “khas” yang sama.

Ketiga situs berita semuanya mengalami serangan Distributed Denial of Service (DDoS) selama minggu kedua bulan Desember. DDoS adalah upaya jahat untuk menghancurkan situs web dengan membanjirinya sejumlah besar lalu lintas simulasi.

Ini juga merupakan bentuk campur tangan sistem yang ilegal di sini sejak diberlakukannya Undang-undang tersebut Undang-undang e-commerce pada tahun 2000. Filipina adalah salah satu negara pertama yang menghukum serangan DDoS, menurut pakar hukum internet JJ Disini. Pelanggaran tersebut dapat dikenakan hukuman yang mencakup denda minimal P100.000 dan hukuman penjara wajib mulai dari enam bulan hingga tiga tahun.

Yang pertama diserang adalah Berita ABS-CBN pada hari Sabtu, 11 Desember. Hal ini disusul dengan penyerangan terhadap situs Rappler pada Rabu, 15 Desember. menyerang minggu itu mencuci File Verayang dipukul keesokan harinya pada hari Kamis 16 Desember.

Pola yang diperoleh dari analisis perbandingan log serangan yang diperoleh dari server tiga situs berita menunjukkan bahwa pihak yang berada di balik serangan tersebut kemungkinan besar menyewa layanan pasar gelap yang terlibat, atau memiliki akses ke, infrastruktur yang digunakan dalam serangan tersebut. teknik SEO topi hitam.

“Tampaknya dalam kasus ini seseorang menggunakan kembali infra yang digunakan dalam SEO untuk tujuan ini,” kata Tord Lundström, direktur teknis di lembaga nirlaba forensik digital Qurium Media yang berbasis di Swedia.

Serangan berkembang, meningkat

Serangan-serangan tersebut tampaknya merupakan bagian dari peningkatan aktivitas. Pada hari Kamis tanggal 23 Desember, kurang dari seminggu setelah serangan terhadap tiga grup media tersebut, Rappler kembali menjadi sasaran serangan DDoS yang lebih intens. Sebelumnya, di hari yang sama, situs ABS-CBN News juga turun. Meskipun raksasa media tersebut tidak mengkonfirmasi alasan pemadaman tersebut, obrolan di komunitas peretas online menyindir bahwa ini juga merupakan serangan DDoS.

Serangan serupa juga terjadi terhadap media alternatif dalam beberapa bulan terakhir, namun ini adalah pertama kalinya beberapa media besar Filipina diserang pada hari-hari berikutnya.

ABS-CBN adalah jaringan media terbesar di Filipina. Meskipun kehilangan waralaba siarannya pada tahun 2020, aset media digitalnya memiliki jejak online yang signifikan. Rappler adalah organisasi berita digital terkemuka di negara ini. Vera Files memiliki pengikut yang lebih kecil dibandingkan dengan dua media lainnya.

Ketiga organisasi media tersebut terkenal dengan pemberitaan kritis yang membuat marah pemerintahan Duterte. Vera Files dan Rappler adalah mitra pengecekan fakta pihak ketiga dari Facebook.

Ketiga organisasi tersebut telah menjadi sasaran serangan hebat di media sosial oleh influencer media sosial pro-administrasi dan saluran propaganda media sosial.

Perubahan strategi?

Qurium Media sebelumnya juga menganalisis serangan DDoS di situs kelompok hak asasi manusia Karapatan dan kelompok Altermidya. Mereka mampu menelusuri serangan terhadap Karapatan dan Altermidya hingga ke pemerintah Filipina, khususnya Departemen Ilmu Pengetahuan dan Teknologi serta militer.

Namun, Lundström mengatakan “serangan ini (terhadap tiga grup berita) berbeda dengan serangan lainnya (seperti yang terjadi di Karapatan).” Tidak ada hubungan langsung antara pasukan pemerintah dan mereka yang baru-baru ini menargetkan ketiga situs berita tersebut.

“Ini bisa menjadi perubahan strategi,” kata Lundström. Dia menunjuk pada pengalaman di Myanmar di mana agen pemerintah menyusup ke kelompok siber yang akhirnya berhasil bersenjata melawan musuh negara.

Salah satu tanda serangan yang digunakan dalam serangan terhadap tiga kelompok media – penggunaan kode python serangan CC (challenge collapsar) – juga terlihat dalam serangan lain terhadap sasaran Filipina, seperti Benar.

Menariknya, sejumlah kelompok peretas lokal menerbitkan postingan online yang menunjukkan pengetahuan mereka mengenai serangan dunia maya terhadap kelompok media tersebut. Selama dua tahun terakhir, kata Lundström, sebagian besar kelompok ini telah memposting tentang peretasan jenis teknologi murni.

Namun, kelompok peretas lokal ini belakangan terlihat lebih banyak mengunggah konten politik. “Bahkan jika tidak ada hubungan langsung, seseorang mencoba mempersenjatai mereka,” kata Lundström.

Tidak jelas apakah kelompok-kelompok ini terlibat dalam serangan terhadap newsgroup. Beberapa halaman milik kelompok ini diketahui memuat propaganda anti-media dan anti-komunis beberapa hari sebelum serangan. Hal ini sedang diselidiki lebih lanjut.

Layanan DDoS untuk disewa?

Dengan memeriksa tautan rujukan yang ditemukan dalam log yang dikumpulkan dari tiga situs web, analis forensik digital menemukan bahwa serangan tersebut menggunakan teknik serupa dengan yang digunakan oleh praktisi optimasi mesin pencari (SEO) blackhat untuk memalsukan lalu lintas ke situs web untuk menghasilkan prospek.

Analisis lebih lanjut terhadap log dari tiga situs berita selama periode serangan menunjukkan bahwa botnet yang digunakan untuk meluncurkan serangan menggunakan beberapa ribu domain yang diklasifikasikan sebagai “spam pengarah” dalam banjir tersebut. Domain ini ditetapkan oleh pengguna ke daftar spam perujuk dari Bisa dilihatkarena digunakan untuk operasi rujukan spam SEO, menurut Lundström. Bisa dilihat adalah perusahaan analitik yang mirip dengan Google Analytics.

Lebih dari 2.500 domain “perujuk spam” ini ditemukan dalam log serangan di situs web Rappler.

Teknik ini, menurut Lundström, sering digunakan oleh para pemasar yang ingin mensimulasikan lalu lintas dan menjual situs pemasaran kepada pengiklan. “Ada banyak uang di dalamnya. Ini digunakan untuk menipu pengiklan,” kata Lundström.

Tautan berisi spam adalah apa yang sering disebut oleh praktisi SEO sebagai situs “lingkungan buruk”. Ini biasanya digunakan oleh praktisi SEO yang tidak etis karena memiliki lebih banyak situs yang terhubung ke suatu situs web dapat menjadi ukuran pentingnya sebuah situs web.

Praktik ini tidak disarankan oleh platform mesin pencari seperti Google sebagai strategi SEO. Sebuah situs yang mendapat banyak rujukan dari situs berkualitas buruk ini mungkin diturunkan pangkatnya oleh algoritme di laman hasil penelusuran, yang menunjukkan potensi motif lain untuk memilih teknik serangan ini terhadap media penting.

Lundström juga mengatakan bahwa hal ini menunjukkan bahwa orang-orang di balik serangan tersebut kemungkinan besar menyewa salah satu operasi pasar gelap yang memiliki akses ke jenis bisnis lain ini. “Itu adalah tanda tangan yang sangat spesifik. Anda biasanya tidak melihat ini dalam serangan penolakan layanan pada umumnya. Anda memerlukan banyak alamat IP dan banyak URL untuk menciptakan lalu lintas semacam ini.”

Hanya pelaku yang sangat canggih yang akan membangun infrastruktur mereka sendiri sebesar ini, menurut Lundström. “Mereka sering menjualnya.” Transaksinya, kata dia, biasanya menggunakan bitcoin.

Lebih banyak tanda serangan

Setelah menganalisis sekitar 8 terabyte log dari serangan terhadap Rappler, Qurium mengidentifikasi hampir 14.000 alamat IP yang membanjiri situs tersebut. Mayoritas alamat IP adalah membuka proxy di AS, Tiongkok, Jerman, Indonesia, Rusia, dan Vietnam.

Proksi terbuka adalah proksi yang dapat diakses oleh semua pengguna Internet. Proksi tipikal biasanya digunakan oleh perusahaan untuk menyimpan dan meneruskan informasi seperti halaman web yang diakses dalam jaringan untuk mengontrol jumlah bandwidth yang digunakan. Proxy terbuka, di sisi lain, biasanya digunakan oleh mereka yang mencari anonimitas dan privasi online untuk menyembunyikan alamat IP dari server web yang dikunjungi pengguna.

Lundström membandingkan sampel kecil 2,5 juta baris log dari serangan terhadap Rappler dengan data dari serangan terhadap Vera Files dan ABS-CBN dan menemukan tautan rujukan serupa.

Mereka juga membandingkan pola serangan Vera Files dan Rappler dengan 250.000 kejadian yang dicatat oleh firewall ABS-CBN. Pola yang terdeteksi dalam log menunjukkan penggunaan DAVOSET, alat untuk melakukan serangan DDoS pada situs web dengan menyalahgunakan situs web lain untuk menjadikannya sumber serangan. Pola serupa ditemukan di log Rappler. – Rappler.com