CISA (Cybersecurity and Infrastructure Security Agency) bersama 19 lembaga keamanan siber internasional menerbitkan advisory bersama yang memperingatkan bahwa aktor ancaman negara bagian Rusia dari FSB Center 16 secara aktif mengeksploitasi router yang buruk konfigurasi dan rentan di seluruh sektor infrastruktur kritis global. Advisory ini, yang diterbitkan pada 13 Juli 2026 dengan kode AA26-194A, memberikan detail teknis terbaru mengenai TTP (Tactics, Techniques, and Procedures) yang digunakan oleh aktor ancaman ini.
APA YANG TERJADI?
CISA dan mitra internasional dari 19 negara — termasuk NSA, FBI, ASD Australia, NCSC Inggris, dan lembaga keamanan siber dari Prancis, Jerman, Italia, Polandia, dan negara-negara Nordik — menerbitkan advisory bersama yang memperingatkan aktivitas berkelanjutan dari aktor ancaman yang dilacak sebagai Ghost Blizzard (juga dikenal sebagai Berserk Bear, Energetic Bear, Dragonfly, dan Static Tundra). Aktor ini menggunakan teknik SNMP scanning untuk menemukan dan mengeksploitasi router yang buruk konfigurasi, terutama pada perangkat Cisco, dengan cara menyalin konfigurasi router dan mengirimkannya ke server yang dikontrol penyerang menggunakan TFTP.
DETALIH TEKNIS
Mekanisme serangan Ghost Blizzard dimulai dengan scanning rentang IP Internet untuk menemukan perangkat jaringan dengan SNMP agent yang menggunakan community string default atau lemah. Penyerang mengirim SNMP Set-Requests dari IP address spoofed yang berisi Object Identifiers (OID) yang memerintahkan SNMP agent untuk menyalin konfigurasi perangkat ke file (biasanya bernama “config.bkp” atau “output.txt”) dan mengirimkannya menggunakan TFTP ke server yang dikontrol penyerang. Selain SNMP, aktor ancaman juga mengeksploitasi CVE-2018-0171 (Cisco Smart Install) dan CVE-2008-4128 (hanya pada perangkat end-of-life). Target utama mencakup sektor komunikasi, pertahanan, energi, layanan keuangan, pemerintahan, dan kesehatan. Advisory ini menggunakan kerangka MITRE ATT&CK Enterprise v19 dan mencakup teknik reconnaissance, initial access, execution, credential access, collection, command and control, dan exfiltration.
DAMPAK TERHADAP INDONESIA
Indonesia memiliki infrastruktur jaringan yang sangat luas dengan jutaan router dan perangkat jaringan dari berbagai vendor, termasuk Cisco, yang digunakan oleh operator telekomunikasi, pemerintah, universitas, dan organisasi swasta. Banyak perangkat ini masih menggunakan konfigurasi default atau belum diperbarui, menjadikannya sasaran empuk bagi teknik serangan Ghost Blizzard. Dengan posisi strategis Indonesia di jalur komunikasi digital Asia-Pasifik, infrastruktur jaringan Indonesia menjadi target yang sangat menarik bagi aktor ancaman negara bagian. BSSN perlu segera menerbitkan imbauan keamanan spesifik bagi organisasi Indonesia mengenai kebersihan konfigurasi router dan mitigasi teknik serangan ini.
REKOMENDASI MITIGASI
Nonaktifkan Cisco Smart Install di seluruh perangkat. Gunakan SNMPv3 dengan konfigurasi “authPriv” dan enkripsi terkuat yang didukung, serta nonaktifkan SNMPv1 dan SNMPv2 yang sudah usang. Gunakan password kuat dan unik untuk akun lokal pada perangkat jaringan, dan gunakan hashing type 8 untuk kredensial Cisco. Batasi akses SNMP hanya dari perangkat manajemen pada jaringan out-of-band. Pantau dan berikan alert pada logins menggunakan akun lokal. Blokir port UDP 69 (TFTP), TCP 4786 (SMI), dan port SNMP di edge firewall. Lakukan pembaruan firmware perangkat jaringan secara rutin dan gunakan attack surface management service untuk mengidentifikasi perangkat yang rentan.
Serangan terhadap router dan perangkat jaringan adalah salah satu bentuk cyberwarfare paling efektif karena menargetkan fondasi infrastruktur jaringan itu sendiri. Ketika router dikompromikan, seluruh lalu lintas data yang melewatinya berada di bawah kendali penyerang — membuat deteksi serangan menjadi jauh lebih sulit.
Sumber: CISA Advisory AA26-194A

