Neutrino, Botnet yang Mengkanibal Botnet Hacker Lain

San Francisco, Cyberthreat.id - Sebuah operasi botnet berskala besar dideteksi menyerang dan mengambil alih botnet lain. Periset keamanan siber dari Positive Technologies menemukan bahwa botnet tersebut terkait dengan trojan WIndows bernama Neutrino (dikenal juga dengan nama Kasidet). Operator botnet ini tampaknya telah mengubah sasaran dari pengguna dekstop ke server daring. Botnet ini bertujuan menanam malware untuk menambang cryptocurrency.

Neutrino yang diketahui muncul di awal 2018 memulai fase baru operasinya ketika botnet (jaringan komputer yang terinfeksi trojan) diarahkan memindai alamat IP di internet untuk mencari aplikasi web dan server yang bisa diinfeksi. Neutrino fokus kepada 159 tipe PHP web shell dan dua JSP (Java Server Pages).

Untuk bisa membobol server, botnet Neutrino akan mengeksploit celah keamanan yang ada, mencari server phpMyAdmin tanpa password, juga melakukan brute-force (teknik menyerang yang masif dengan cara menebak password) untuk masuk ke akun di sistem phpMyAdmin, Tomcat, dan MS-SQL. Botnet yang lain juga melakukan hal yang serupa. Yang berbeda dari operasi botnet Neutrino adalah fokusnya untuk membajak web shell. Ini adalah antarmuka berbasis web yang bisa membuat hacker terkoneksi dan memberikan perintah lewat browser mereka. Setelah mengumpulkan daftar web shell yang bisa menjadi target, Neutrino akan melakukan brute-force untuk mengambil alih backdoor yang ditanam hacker lain di server tersebut. 

Kanibalisasi botnet oleh botnet lain seperti ini jarang ditemukan. Operator botnet memang sering berkompetisi satu sama lain. Mereka bisa menggunakan sistem yang juga seperti antivirus untuk menjaga perangkat yang telah mereka infeksi tidak diganggu hacker lain, kata periset Positive Technologies.

Berdasarkan investigasi Positive Technologies, Neutrino cukup sukses menginfeksi server Windows yang menjalankan phpStudy. Program yang mengintegrasikan Apache, PHP, MySQL, phpMyAdmin, dan Zend Optimize dalam sekali install ini cukup populer di kalangan developer China. "Untuk melindungi server dari infeksi Nuterino, kami menyarakan administrator untuk memeriksa password untuk root account di phpMyadmin," kata Kirill Shipulin, periset Positive Technologies seperti dikutip ZDNet.com pada 21 Agustus.