Awas, Botnet Kaiji Serang Perangkat IoT via Port SSH
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Peneliti keamanan siber menemukan jenis perangkat lunak jahat (malware) yang secara khusus dibuat untuk menginfeksi peladen (server) berbasis Linux dan barang-barang yang terkoneksi internet (Internet of Things/IoT).
Begitu malware tersebut menginfeksi, perangkat dipakai untuk meluncurkan serangan distributed denial of service (DDoS).
Dinamai Kaiji, malware baru ini ditemukan pekan lalu oleh peneliti keamanan MalwareMustDie—sebuah kelompok peneliti keamanan siber berbasis di Jepang, Jerman, Prancis dan AS—dan tim peneliti dari perusahan keamanan siber asal Israel, Intezer Labs.
Malware itu sangat berbeda dari jenis malware IoT lain, karena ditulis dalam bahasa pemrograman “Go”, daripada dalam “C” atau “C++”, dua bahasa pemprograman yang selama ini dipakai untuk sebagian besar malware IoT.
“Go malware” jarang terjadi, bukan karena itu tidak efisien, tetapi karena sudah ada begitu banyak proyek “C” atau “C ++” yang tersedia secara bebas di GitHub dan forum peretasan yang membuat pembuatan botnet IoT merupakan operasi sederhana.
Sangat sedikit penulis malware IoT menghabiskan waktu mereka mengkodekan botnet dari awal hari ini, tulis ZDNet, Selasa (5 Mei 2020).
Faktanya, sebagian besar botnet IoT hanyalah campuran dari berbagai bagian dan modul yang diambil dari banyak galur (strain), digabungkan menjadi variasi baru dari basis kode botnet lama yang sama.
"Botnet IoT relatif terdokumentasi dengan baik oleh spesialis keamanan. Jarang melihat alat botnet ditulis dari awal,” kata Paul Litvak, analis malware Intezer Lab.
Seluruh dunia
Menurut peneliti Litvak dan MalwareMustDie, Kaiji telah terlihat di alam liar dan perlahan menyebar ke seluruh dunia.
Saat ini, kata peneliti, botnet tidak dapat menggunakan exploit untuk menginfeksi perangkat yang tidak ditambal. Sebaliknya, botnet Kaiji mengeksekusi serangan brute-force terhadap perangkat IoT dan server Linux yang telah membiarkan port Secure Shell (SSH)-nya terekspos di internet.
SSH adalah protokol jaringan yang dipakai untuk melakukan login secara aman dan dari jarak jauh (remote) ke sistem operasi Linux. Koneksi ini menggunakan kriptografi yang aman sehingga sulit untuk diretas.
“Hanya akun root perangkat yang ditargetkan,” kata Litvak.
Alasannya, botnet memerlukan akses root ke perangkat yang terinfeksi untuk memanipulasi paket jaringan yang akan dipakai untuk serangan DDoS dan operasi lain.
Setelah memperoleh akses ke akun root perangkat, Kaiji akan menggunakan perangkat dengan tiga cara. Pertama, untuk serangan DDoS. Kedua, untuk melakukan lebih banyak serangan brute-force SSH terhadap perangkat lain. Ketiga, mencuri kunci SSH lokal dan menyebar ke perangkat lain yang dikelola akun root di masa lalu.
Litvak mengatakan, botnet tersebut meski memiliki kemampuan untuk meluncurkan enam jenis serangan DDoS, tampaknya masih dalam proses pengembangan.
Selain itu, server perintah dan kontrol (C2) Kaiji juga sering offline, meninggalkan perangkat yang terinfeksi tanpa server utama (master), dan terkena pembajakan oleh botnet lain.
Sementara ini, botnet Kaiji bukanlah ancaman, tapi bukan berarti itu tidak akan mengancam di masa depan.
Asal China
Peneliti meyakini botnet tersebut dikembangkan dari China, karena banyak fungsi dalam kode, meski ditulis dalam bahasa Inggris, padahal hanyalah terjemahan dari istilah-istilah China.
Kaiji sekarang adalah botnet IoT terbaru yang muncul di panggung malware IoT, yang dalam beberapa bulan terakhir telah melihat beberapa perkembangan menarik.
Saat ini, sebagian besar botnet IoT jarang menggunakan lebih dari 15.000–20.000 perangkat yang terinfeksi. Adanya prevalensi kit botnet sumber terbuka (open-source)—sekarang ada ratusan botnet aktif setiap hari—semua berjuang untuk menginfeksi dan mengendalikan jumlah perangkat IoT yang sama. Akibatnya, seluruh pasar botnet IoT sekarang terfragmentasi dan dibagi di antara sejumlah besar pemain kecil.
Saat ini, salah satu botnet terbesar adalah botnet Mozi, yang menurut laporan dari CenturyLink's Black Lotus Labs, telah berhasil menginfeksi lebih dari 16.000 mesin selama empat bulan terakhir.
Botnet terbaru lainnya termasuk strain malware Hoaxcalls IoT, Mukashi, dan dark_nexus.[]
