Botnet Cyclops Blink Serang Router Asus
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Botnet “Cyclops Blink” diketahui sedang menargetkan router Asus dalam gelombang serangan siber yang terjadi beberapa pekan terakhir.
Serangan itu ditemukan oleh Pusat Keamanan Siber Nasional Inggris (NCSC) dan Badan Keamanan Siber dan Infrastruktur AS serta bersama-sama Badan Keamanan Nasional AS (NSA) dan Biro Investigasi Federa (FBI).
Cyclops Blink ialah sebuah botnet modular yang diduga buatan Sandworm/Voodoo Bear, geng peretas canggih (APT) asal Rusia.
Menurut badan keamanan, geng tersebut didukung oleh Direktorat Intelijen Utama Staf Umum Rusia (GRU) dan telah dikaitkan dengan penggunaan malware “BlackEnergy” dalam serangan jaringan listrik di Ukraina, Industroyer, NotPetya, dan serangan siber di Georgia, tulis ZDNet, diakses Minggu (20 Maret 2022).
"Cyclops Blink tampaknya menjadi pengganti malware ‘VPNFilter’ yang terungkap pada 2018 dan mengeksploitasi perangkat jaringan, terutama router kantor kecil/rumah kantor rumah dan perangkat penyimpanan yang terpasang di jaringan (NAS)," badan tersebut memperingatkan..
Sementara, para peneliti cybersecurity dari perusahaan keamanan Jepang, Trend Micro, juga mendapatkan sampel malware dan telah menganalisisnya.
Botnet tersebut ditengarai telah tersebar luas di lebih dari 150 alamat peladen command-and-control (C2).
“Meski botnet ini diduga mendapat dukungan negara tertentu, server C2 dan botnya mempengaruhi perangkat WatchGuard Firebox dan Asus yang bukan dimiliki organisasi penting atau memiliki nilai dari sisi ekonomi, politik, atau pun militer,” tulis Trend Micro di blog perusahaan.
Oleh karenanya, perusahaan berkeyakinan bahwa serangan malware tersebut “kemungkinan bertujuan untuk membangun infrastruktur serangan yang lebih luas dengan target yang bernilai tinggi”.
Trend Micro mengatakan, pertama kali terdeteksi pada 2019, Cyclops Blink ditulis dalam bahasa C dan menggunakan transmission control protocol (TCP) untuk berkomunikasi dengan server C2. Malware menggunakan fungsi enkripsi OpenSSL dan akan mencoba untuk brute-force perangkat untuk mendapatkan akses.
Karena konten memori flash bersifat permanen, malware modul ini dapat digunakan untuk membangun kegigihan dan bertahan dari reset pabrik perangkat.
Selain itu, malware juga dirancang untuk mengumpulkan informasi perangkat dan memungkinkan botnet untuk mengunduh dan mengeksekusi file tambahan dari web.
"Asus kemungkinan hanya salah satu vendor yang saat ini menjadi sasaran Cyclops Blink," kata peneliti Trend Micro.
"Kami memiliki bukti bahwa router lain juga terpengaruh, tetapi pada pelaporan, kami tidak dapat mengumpulkan sampel malware Cyclops Blink untuk router, selain WatchGuard dan Asus."
Dalam sebuah penasihat keamanan yang diterbitkan pada 17 Maret, Asus mengatakan telah mengetahui Cyclops Blink dan sedang "menyelidikinya".
Perusahaa telah mendesak pelanggan untuk mengatur ulang perangkat mereka ke pengaturan default pabrik, untuk memperbarui produk mereka ke firmware terbaru, dan untuk mengubah kredensial administrator default ke opsi yang lebih kuat.
Selain itu, Asus merekomendasikan agar fungsi Remote Management, dinonaktifkan secara default, jangan diubah setelannya..
"Jika dicurigai bahwa perangkat organisasi telah terinfeksi Cyclops Blink, yang terbaik adalah mendapatkan router baru," tutur Trend Micro.
"Melakukan reset pabrik mungkin menghapus konfigurasi, tetapi bukan sistem operasi yang mendasari yang telah dimodifikasi oleh penyerang."
Daftar produk yang terpengaruh ada di bawah ini:
- Firmware GT-AC5300 di bawah 3.0.0.4.386.xxxx
- Firmware GT-AC2900 di bawah 3.0.0.4.386.xxxx
- Firmware RT-AC5300 di bawah 3.0.0.4.386.xxxx
- Firmware RT-AC88U di bawah 3.0.0.4.386.xxxx
- Firmware RT-AC3100 di bawah 3.0.0.4.386.xxxx
- Firmware RT-AC86U di bawah 3.0.0.4.386.xxxx
- Firmware RT-AC68U, AC68R, AC68W, AC68P di bawah 3.0.0.4.386.xxxx
- Firmware RT-AC66U_B1 di bawah 3.0.0.4.386.xxxx
- Firmware RT-AC3200 di bawah 3.0.0.4.386.xxxx
- Firmware RT-AC2900 di bawah 3.0.0.4.386.xxxx
- Firmware RT-AC1900P, RT-AC1900P di bawah 3.0.0.4.386.xxxx
- RT-AC87U (EOL)
- RT-AC66U (EOL)
- RT-AC56U (EOL).[]
