Invasi Zero-Day: Dari Cisco hingga Broker Rusia

FBI mengalami pelanggaran sistem yang mengelola wiretaps dan surat perintah intelijen asing menurut laporan CNN yang mengutip sumber anonim. FBI mengakui adanya aktivitas mencurigakan dan sedang menanggapi soal ini, meskipun rincian lebih lanjut tidak diberikan. Serangan ini merupakan bagian dari tren serangan siber yang menargetkan berbagai instansi pemerintah dan perusahaan di Amerika Serikat, termasuk Departemen Keuangan, National Nuclear Security Administration, dan pengadilan AS. Kelompok hacker Salt Typhoon yang didukung China juga menargetkan lebih dari 200 perusahaan telekomunikasi besar di AS. Akibat dari serangan ini, keamanan data sensitif pemerintah dan perusahaan AS menjadi sangat terancam yang bisa berujung pada kebocoran informasi penting dan risiko keamanan nasional meningkat. Hal ini menandakan perlunya peningkatan sistem perlindungan dan respon terhadap ancaman siber yang semakin canggih.

Peretas berhasil masuk ke jaringan FBI, khususnya sistem pengelolaan penyadapan dan surat perintah intelijen asing. Serangan ini menjadi bagian dari gelombang pelanggaran keamanan yang menimpa lembaga pemerintah dan perusahaan besar di AS. Insiden ini menimbulkan kekhawatiran serius tentang keamanan data dan operasi rahasia pemerintah. Beberapa serangan sebelumnya termasuk peretasan Tiongkok terhadap Departemen Keuangan dan Administrasi Keamanan Nuklir Nasional, serta peretasan Rusia terhadap sistem pengadilan AS. Grup Salt Typhoon, yang berasal dari Tiongkok, juga berhasil membobol lebih dari 200 perusahaan termasuk AT&T dan Verizon. Elon Musk dan Dogecoin juga disebut dalam konteks pelanggaran data pribadi dan risiko keamanan nasional. Akibat serangan ini, pemerintah AS harus memperkuat pertahanan siber dan meningkatkan koordinasi dengan sektor swasta untuk melindungi data dan infrastruktur vital. Jika tidak, ancaman serangan siber yang lebih besar dan kerusakan yang lebih luas sangat mungkin terjadi di masa depan. Keamanan nasional dan privasi warga negara menjadi taruhannya.

Google melaporkan sekitar 48% zero-day bugs yang ditemukan tahun lalu mengeksploitasi perangkat dan teknologi yang digunakan oleh perusahaan besar. Banyak dari zero-day ini menargetkan perangkat keamanan perusahaan seperti firewall dan VPN. Pelaporan ini menunjukkan meningkatnya tren serangan siber pada infrastruktur penting perusahaan. Perangkat dari Cisco, Fortinet, Ivanti, dan VMware disebut paling sering dieksploitasi hacker dengan memanfaatkan celah sederhana seperti validasi input yang buruk dan otorisasi yang tidak lengkap. Serangan oleh kelompok seperti Clop berhasil mengambil data penting dari berbagai perusahaan ternama, termasuk Harvard dan American Airlines. Di sisi lain, 52% zero-day yang lain ditemukan di produk konsumen seperti sistem operasi dan perangkat mobile. Google juga mencatat pergeseran pola penggunaan zero-day dengan semakin banyaknya keberadaan vendor spyware ketimbang spionase tradisional oleh pemerintah. Hal ini menandakan landscape hacking yang terus berevolusi dan kompleksitas ancaman dunia maya yang terus meningkat. Implikasi utama adalah perlunya peningkatan langkah keamanan dan penyesuaian strategi dalam menghadapi ancaman ini.

Google mengungkap exploit kit Coruna yang awalnya digunakan dalam operasi mata-mata pada Februari 2025 dan kemudian ditemukan dipakai dalam serangan siber global. Kit ini mampu mengeksploitasi iPhone versi iOS 13 hingga 17.2.1 melalui serangan website berbahaya dengan menggabungkan 23 kerentanan. Hal ini menunjukkan bagaimana teknologi hacking pemerintah dapat bocor dan dipakai secara luas oleh aktor jahat. Coruna telah menjadi alat dalam kampanye spionase Rusia terhadap Ukraina dan digunakan peretas finansial di China, membuktikan kompleksitas dan daya rusak alat ini. iVerify menghubungkan Coruna dengan alat hacking pemerintah AS berdasarkan kesamaan teknis dan sejarah kasus serupa seperti EternalBlue. Insiden lainnya termasuk pencurian exploit oleh mantan petinggi L3Harris Trenchant yang menjualnya ke broker Rusia. Kebocoran exploit pemerintah membuka peluang pasar gelap bagi eksploit dan alat hacking yang sebelumnya hanya digunakan oleh negara. Hal ini menimbulkan risiko besar bagi keamanan digital di seluruh dunia, terutama bagi pengguna iPhone yang rentan. Mendorong pembaruan perangkat lunak dan meningkatkan kesadaran keamanan menjadi langkah penting untuk mengurangi dampak negatif dari situasi ini.

Kerentanan zero-day dengan skor keparahan 10 ditemukan pada sistem Cisco Catalyst SD-WAN Controller dan Manager dan telah dieksploitasi sejak 2023. Hal ini membahayakan keamanan jaringan karena memungkinkan peretas melewati proses autentikasi dan memperoleh hak akses admin. CISA dan Cisco telah mengonfirmasi keberadaan eksploitasi aktif serta merilis peringatan dan pembaruan keamanan. Serangan melibatkan teknik multi-tahap termasuk penurunan versi perangkat lunak untuk mengeksploitasi kerentanan lama setelah melewati autentikasi. Peretas bisa mengakses NETCONF dan mengontrol konfigurasi jaringan, termasuk rute dan kebijakan. Pakar keamanan dari berbagai organisasi menyoroti bahayanya eksploitasi ini yang menargetkan kontrol pusat infrastruktur jaringan. CISA mengeluarkan arahan darurat meminta tindakan segera untuk menerapkan patch terbaru dan melakukan audit menyeluruh terhadap aktivitas aneh di log sistem. Jika tidak ditangani cepat, serangan dapat menyebabkan kompromi penuh dan akses root pada seluruh jaringan. Organisasi disarankan untuk memprioritaskan patch dan pengawasan keamanan eksternal demi mencegah kerugian besar.

Cisco menemukan adanya bug keamanan serius pada produk Catalyst SD-WAN yang bisa digunakan peretas untuk mengakses jaringan perusahaan dan pemerintah secara tersembunyi dan jangka panjang. Bug ini memiliki skor kerentanan paling tinggi, yaitu 10.0, dan sudah dieksploitasi selama minimal tiga tahun. Produk Catalyst SD-WAN sangat penting bagi organisasi besar dan instansi pemerintah karena membantu menghubungkan berbagai kantor dan jaringan privat mereka dengan aman melalui jarak jauh. Namun, cacat ini bisa membuat peretas mengambil alih sistem tersebut dan mengawasi hingga mencuri data penting secara tersembunyi. Bug tersebut telah menyebabkan beberapa organisasi infrastruktur penting, seperti listrik, air, dan transportasi berada dalam risiko. Beberapa negara seperti Australia, Kanada, Selandia Baru, Inggris, dan Amerika Serikat sudah mengeluarkan peringatan dan menyerukan penanganan cepat untuk memperbaiki kerentanan ini. CISA, badan keamanan siber Amerika Serikat, bahkan memerintahkan agar semua lembaga pemerintah melakukan patch atau pembaruan pada sistem mereka secepatnya karena ancaman yang sangat besar dan sedang berlangsung. Sayangnya, serangan ini belum diketahui pasti siapa aktornya, meski aktivitasnya telah terdeteksi dan diberi label UAT-8616. Cisco sebelumnya juga memberikan peringatan serupa terhadap celah di software Async mereka yang juga berisiko tinggi dan sedang disalahgunakan oleh hacker. Ini menegaskan betapa pentingnya menjaga keamanan perangkat jaringan agar tidak mudah ditembus dan digunakan sebagai pintu masuk serangan cyber.

Baru-baru ini ditemukan sebuah kerentanan zero-day yang sangat serius dalam sistem Cisco Catalyst SD-WAN Controller dan Manager yang memungkinkan hacker mendapatkan akses admin hanya dengan mengirimkan permintaan berbahaya. Kerentanan ini mempunyai skor keparahan sempurna, 10 dari 10, sehingga menjadi peringatan keras bagi semua pengguna sistem ini. Serangan aktif sudah terjadi sejak tahun 2023, dan kini U.S. Cybersecurity and Infrastructure Security Agency (CISA) telah mengeluarkan perintah darurat yang mewajibkan seluruh organisasi yang memakai perangkat ini untuk segera bertindak memperbaiki sistem mereka. Dampaknya sangat besar karena hacker bisa mendapatkan akses tinggi yang memungkinkan mereka mengubah konfigurasi jaringan secara diam-diam. Cisco sendiri telah mengonfirmasi kerentanan ini dan menyatakan bahwa mekanisme autentikasi peering pada sistem yang terdampak tidak berfungsi dengan benar. Para peretas dapat masuk ke dalam sistem dengan hak akses tinggi dan menggunakan kontrol seperti NETCONF untuk manipulasi jaringan. Para ahli keamanan juga menyarankan agar para admin jaringan segera audit log autentikasi dan melakukan pemburuan ancaman untuk memastikan tidak ada peretas yang sudah masuk dan bertahan di sistem. Software update sudah dikeluarkan oleh Cisco, namun tidak ada solusi workaround selain memperbarui sistem secepatnya. Kesimpulannya, ini adalah salah satu isu keamanan terparah yang ditemukan dalam perangkat jaringan modern dan menunjukkan pentingnya kesigapan serta tindakan cepat dalam keamanan siber untuk mencegah kerugian besar di masa depan.

Peter Williams, mantan manajer Trenchant di L3Harris, dijatuhi hukuman 87 bulan penjara karena mencuri dan menjual alat peretasan kepada Operation Zero, sebuah firma asal Rusia yang dikenal sebagai broker eksploit berbahaya di dunia. Ia mendapatkan Rp 21.71 miliar ($1,3 juta) dalam bentuk crypto dari penjualan ini selama tahun 2022 hingga 2025. Trenchant adalah divisi yang mengembangkan alat hacking dan pengawasan untuk pemerintah AS dan sekutunya. Alat-alat ini, berupa zero-day exploits, memungkinkan peretas untuk mengeksploitasi celah keamanan di software populer, seperti iPhone, Android, dan browser web, yang biasanya tidak diketahui oleh pengembangnya. Sementara kasus ini berhasil diungkap dan pelaku dihukum, masih banyak pertanyaan yang belum terjawab, termasuk identitas pasti dari alat peretasan yang dicuri, bagaimana alat tersebut disebarkan, dan siapa yang menggunakannya setelah dijual oleh Operation Zero. Seorang pegawai lain di L3Harris yang dituduh dan dipecat oleh Williams akhirnya menjadi korban serangan spyware di iPhone pribadinya setelah kasus ini muncul. Dugaan muncul bahwa serangan tersebut mungkin terkait dengan investigasi FBI atau agen intelijen AS, namun hal ini belum dikonfirmasi secara resmi. Departemen Keuangan AS kemudian menjatuhkan sanksi kepada Operation Zero dan pendirinya, bersama individu terkait seperti anggota grup Trickbot, yang memperkuat posisi pemerintah AS dalam menangani ancaman nasional dari kebocoran alat hacking ini.

Peter Williams adalah mantan manajer umum Trenchant, bagian dari perusahaan kontraktor pertahanan L3Harris yang mengembangkan alat peretasan dan pengawasan canggih untuk pemerintah AS dan sekutunya. Pada tahun lalu, Williams mengakui telah menjual rahasia dagang perusahaan itu kepada sebuah pihak di Rusia. Williams, warga Australia yang tinggal di Washington, D.C., mengaku menjual tujuh rahasia dagang kepada broker Rusia bernama Operation Zero yang dikenal membeli informasi kerentanan perangkat seperti Android dan iPhone serta aplikasi pesan seperti Telegram. Pemerintah Amerika Serikat telah menjatuhkan sanksi kepada Operation Zero yang mengklaim hanya menjual ulang alat-alat tersebut kepada pemerintah dan perusahaan Rusia. Alat ini bisa memungkinkan pengakses untuk mengendalikan jutaan perangkat secara global. Selama masa 2022 hingga 2025, Williams mengaku memperoleh 1,3 juta dolar AS dalam bentuk kripto dari penjualan tersebut. Kejadian ini bukan hanya pelanggaran hukum, tetapi juga ancaman besar terhadap keamanan siber dunia. Hukuman tujuh tahun penjara yang dijatuhkan kepada Williams menjadi peringatan bagi semua pihak tentang bahaya penjualan dan penyebaran teknologi peretasan yang seharusnya hanya digunakan untuk kepentingan keamanan nasional dan aliansi internasional.

Pemerintah Amerika Serikat baru-baru ini mengumumkan sanksi tegas terhadap dua perusahaan dan beberapa individu yang terlibat dalam perdagangan zero-day exploit. Zero-day exploit adalah celah keamanan dalam perangkat lunak yang belum diketahui pengembangnya dan bisa dimanfaatkan untuk meretas. Perusahaan yang disanksi termasuk Operation Zero dari Rusia dan Special Technology Services yang berasal dari Uni Emirat Arab. Operation Zero, yang didirikan pada 2021, pernah menawarkan harga hingga 20 juta dolar untuk menemukan zero-day di perangkat Android dan iPhone. Mereka juga menawarkan hingga 4 juta dolar untuk celah dalam aplikasi Telegram. Pemerintah AS menuduh Operation Zero bekerja sama dengan pemerintah Rusia dan menggunakan exploit yang dicuri dari perusahaan Amerika untuk menjualnya ke pengguna yang tidak berwenang. Salah satu tokoh penting dalam kasus ini adalah Sergey Zelenyuk, pendiri Operation Zero, yang dicurigai menjual exploit ke agen intelijen asing dan merekrut hacker. Ada juga kaitan dengan penyelidikan FBI terhadap Peter Williams, mantan manajer di perusahaan kontraktor pertahanan AS, L3Harris, yang mengaku bersalah menjual exploit kepada broker Rusia tersebut. Selain itu, pemerintah AS juga menyanksi beberapa individu dan perusahaan rekanan yang diduga mendukung kegiatan perdagangan exploit ini. Salah satu perusahaan rekanan lain yang disanksi adalah Advance Security Solutions, yang juga menawarkan hadiah besar untuk zero-day. Sanksi ini dilakukan berdasarkan undang-undang federal yang memungkinkan tindakan terhadap pencurian rahasia dagang yang signifikan. Langkah pemerintah AS ini adalah bagian dari upaya untuk menjaga keamanan nasional, kebijakan luar negeri, dan stabilitas ekonomi dari ancaman perangkat lunak berbahaya. Masyarakat dan perusahaan teknologi diharapkan lebih waspada terhadap ancaman siber jenis ini yang bisa berdampak luas.