ANALISA SERANGAN HACKER PADA PUSAT DATA NASIONALÂ
KRONOLOGI SERANGAN, Â GEJALA-GEJALA TERJADI SERANGAN DAN PENANGANAN SAAT TERJADI SERANGAN, CARA PENCEGAHAN DAN PENGAMANAN
"Demi harga diri negara, rasanya ingin membantu ke TKP, tapi apa daya tangan tak sampai, semoga Artikel buah pikiran saya ini sampai dan dapat membantu tim yang masih bekerja walaupun saya tak perlu hadir disana, jangan menyerah.."
I. PENDAHULUAN
Seminggu terakhir ini dunia IT ditanah air dihebohkan oleh serangan hacker yang merusak sistem Pusat Data Nasional (PDN) yang berada di Surabaya, yang menghentikan banyak layanan public pemerintah terutama di imigrasi yang mengalami serangan virus ransomware.
Dengan berbagai berita Analisa dari para pakar IT yang beraneka ragam yang dapat ditemukan melalui berbagai media berita online, hal ini menarik saya untuk ikut memberikan sumbangsih Analisa terkait apa yang terjadi pada PDN 2.
Analisa ini saya buat dengan berbagai keterbatasan kemampuan saya yang masih cukup minim pengetahuan dalam dunia IT, namun tidak menyurutkan niat untuk memberikan pandangan dan masukan agar hal ini tidak terjadi Kembali di kemudian hari.
II. KRONOLOGI SERANGAN
Dengan mengetahui Kronologi Serangan yang sesugguhnya, kedepan kita dapat mencegah lebih awal agar serangan dapat dihindari, Berdasarkan Analisa saya, kuat dugaan saya kronologi serangan yang terjadi adalah sebagai berikut :
1. FASE PERTAMA
Fase pertama terjadi pengambilalihan/menaklukan Sistem Operasi Windows Server yang digunakan dengan cara :
- Mencari Port Remote Desktop Windows yang terbuka secara online menggunakan IP Public (Mencari dan menentukan Target Sasaran).
- Mencari tahu User Name dengan previlege Administrators yang digunakan untuk login ke Windows, secara default user name tersebut adalah Administrator atau mencoba remote desktop ke server target untuk melihat diplay user-user yang tampil dilayar.
- Melakukan Brute Force Password user name Administrators Windows Server tersebut untuk mendapatkan passwordnya.
- Pelaku mengakses Server melalui Remote Desktop Windows menggunakan Password yang telah didapatkannya.
- Mengganti Password dan mematikan user Administrators lainnya sehingga Server sudah Full dalam kendalinya.
- Mematikan service-service yang sedang berjalan terutama Antivirus, Windows Defender, virtual machine (VM), Database, sistem restore windows, mematikan port icmp request, dll Â
- Mengirim file-file executetable virus ransomware ke dalam server target
2. FASE KEDUA