banner large

Berbagai macam router sedang diserang oleh malware baru yang luar biasa canggih

Comment
X
Share
Berbagai macam router sedang diserang oleh malware baru yang luar biasa canggih

Gambar Getty

Sebuah kelompok peretas yang luar biasa canggih telah menghabiskan hampir dua tahun menginfeksi berbagai router di Amerika Utara dan Eropa dengan malware yang mengambil kendali penuh dari perangkat terhubung yang menjalankan Windows, macOS, dan Linux, para peneliti melaporkan pada hari Selasa.

Sejauh ini, peneliti dari Black Lotus Labs Lumen Technologies mengatakan mereka telah mengidentifikasi setidaknya 80 target yang terinfeksi oleh malware tersembunyi, menginfeksi router yang dibuat oleh Cisco, Netgear, Asus, dan DayTek. Dijuluki ZuoRAT, Trojan akses jarak jauh adalah bagian dari kampanye peretasan yang lebih luas yang telah ada setidaknya sejak kuartal keempat tahun 2020 dan terus beroperasi.

Tingkat kecanggihan yang tinggi

Penemuan malware yang dibuat khusus yang ditulis untuk arsitektur MIPS dan dikompilasi untuk router kantor kecil dan kantor rumahan adalah signifikan, terutama mengingat jangkauan kemampuannya. Kemampuannya untuk menghitung semua perangkat yang terhubung ke router yang terinfeksi dan mengumpulkan pencarian DNS dan lalu lintas jaringan yang mereka kirim dan terima dan tetap tidak terdeteksi adalah ciri dari aktor ancaman yang sangat canggih.

“Meskipun mengkompromikan router SOHO sebagai vektor akses untuk mendapatkan akses ke LAN yang berdekatan bukanlah teknik baru, itu jarang dilaporkan,” tulis peneliti Black Lotus Labs. “Demikian pula, laporan serangan gaya person-in-the-middle, seperti pembajakan DNS dan HTTP, bahkan lebih jarang dan merupakan tanda operasi yang kompleks dan terarah. Penggunaan kedua teknik ini secara bersamaan menunjukkan tingkat kecanggihan yang tinggi oleh seorang aktor ancaman, menunjukkan bahwa kampanye ini mungkin dilakukan oleh organisasi yang disponsori negara.”

Kampanye ini terdiri dari setidaknya empat bagian malware, tiga di antaranya ditulis dari awal oleh aktor ancaman. Bagian pertama adalah ZuoRAT berbasis MIPS, yang sangat mirip dengan malware Mirai Internet of Things yang mencapai serangan penolakan layanan terdistribusi yang memecahkan rekor yang melumpuhkan beberapa layanan Internet selama berhari-hari. ZuoRAT sering kali terinstal dengan mengeksploitasi kerentanan yang belum ditambal di perangkat SOHO.

Setelah diinstal, ZuoRAT menghitung perangkat yang terhubung ke router yang terinfeksi. Pelaku ancaman kemudian dapat menggunakan pembajakan DNS dan pembajakan HTTP untuk menyebabkan perangkat yang terhubung menginstal malware lain. Dua dari malware tersebut—dijuluki CBeacon dan GoBeacon—dibuat khusus, dengan yang pertama ditulis untuk Windows dalam C++ dan yang terakhir ditulis dalam Go untuk kompilasi silang di perangkat Linux dan macOS. Untuk fleksibilitas, ZuoRAT juga dapat menginfeksi perangkat yang terhubung dengan alat peretas Cobalt Strike yang banyak digunakan.

Lab Teratai Hitam

ZuoRAT dapat memutar infeksi ke perangkat yang terhubung menggunakan salah satu dari dua metode:

  • Pembajakan DNS, yang menggantikan alamat IP yang valid terkait dengan domain seperti Google atau Facebook dengan yang berbahaya yang dioperasikan oleh penyerang.
  • Pembajakan HTTP, di mana malware memasukkan dirinya ke dalam koneksi untuk menghasilkan kesalahan 302 yang mengarahkan pengguna ke alamat IP yang berbeda.

Sengaja rumit

Black Lotus Labs mengatakan infrastruktur komando dan kontrol yang digunakan dalam kampanye sengaja dibuat rumit dalam upaya untuk menyembunyikan apa yang terjadi. Satu set infrastruktur digunakan untuk mengontrol router yang terinfeksi, dan infrastruktur lainnya dicadangkan untuk perangkat yang terhubung jika kemudian terinfeksi.

Para peneliti mengamati router dari 23 alamat IP dengan koneksi terus-menerus ke server kontrol yang mereka yakini sedang melakukan survei awal untuk menentukan apakah target menarik. Sebagian dari 23 router tersebut kemudian berinteraksi dengan server proxy yang berbasis di Taiwan selama tiga bulan. Subset router selanjutnya dirotasi ke server proxy yang berbasis di Kanada untuk mengaburkan infrastruktur penyerang.

Grafik ini menggambarkan langkah-langkah yang tercantum terlibat.

Pelaku ancaman juga menyamarkan halaman arahan server kontrol agar terlihat seperti ini:

Lab Teratai Hitam

Para peneliti menulis:

Visibilitas Black Lotus Labs menunjukkan ZuoRAT dan aktivitas yang berkorelasi mewakili kampanye yang sangat bertarget terhadap organisasi AS dan Eropa Barat yang menyatu dengan lalu lintas internet biasa melalui infrastruktur C2 bertingkat yang dikaburkan, kemungkinan selaras dengan beberapa fase infeksi malware. Sejauh mana para aktor berusaha keras untuk menyembunyikan infrastruktur C2 tidak dapat dilebih-lebihkan. Pertama, untuk menghindari kecurigaan, mereka menyerahkan eksploitasi awal dari server pribadi virtual (VPS) khusus yang menghosting konten jinak. Selanjutnya, mereka memanfaatkan router sebagai proxy C2 yang bersembunyi di depan mata melalui komunikasi router-ke-router untuk menghindari deteksi lebih lanjut. Dan akhirnya, mereka merotasi router proxy secara berkala untuk menghindari deteksi.

Penemuan kampanye yang sedang berlangsung ini adalah yang paling penting yang mempengaruhi router SOHO sejak VPNFilter, malware router yang dibuat dan disebarkan oleh pemerintah Rusia yang ditemukan pada tahun 2018. Router sering diabaikan, terutama di era bekerja dari rumah. Sementara organisasi sering memiliki persyaratan ketat untuk perangkat apa yang diizinkan untuk terhubung, hanya sedikit patch mandat atau perlindungan lain untuk router perangkat.

Seperti kebanyakan malware router, ZuoRAT tidak dapat bertahan dari reboot. Cukup restart perangkat yang terinfeksi akan menghapus eksploitasi ZuoRAT awal, yang terdiri dari file yang disimpan dalam direktori sementara. Namun, untuk pulih sepenuhnya, perangkat yang terinfeksi harus direset ke setelan pabrik. Sayangnya, jika perangkat yang terhubung telah terinfeksi malware lain, mereka tidak dapat didesinfeksi dengan mudah.

Leave a Reply

Your email address will not be published.