Hacker Indonesia Diduga di Balik Operasi Botnet Canggih 'KashmirBlack'
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Perusahaan keamanan siber asal California, Imperva, meyakini peretas (hacker) asal Indonesia berjuluk “Exect1337” di balik operasi botnet canggih bernama “KashmirBlack”.
Exect1337 diduga anggota dari komunitas hacker PhantomGhost. Di defacer.id, jejak digital aksi perusakan web (web defacement) yang dilakukan Exect1337 juga menunjukkan bahwa mereka anggota PhantomGhost. (Baca laporan Imperva di sini 1 dan 2)
Imperva menemukan aksi serangan botnet yang menginfeksi ratusan ribu situs web yang menyerang sejumlah platform sistem manajemen konten (CMS).
Situs web yang diserang cenderung yang menjalankan platform CMS seperti WordPress, Joomla !, PrestaShop, Magneto, Drupal, vBulletin, osCommerce, OpenCart, dan Yeager.
"Selama penelitian kami, kami menyaksikan evolusinya dari botnet volume menengah dengan kemampuan dasar menjadi infrastruktur besar," kata Imperva, Jumat (23 Oktober 2020) yang dikutip oleh ZDNet, portal berita cybersecurity, Senin (26 Oktober).
Peneliti mendeteksi aksi KashmirBlack mulai beroperasi sejak November 2019. Tujuan utama botnet ini tampaknya menginfeksi situs web untuk dijadikan penambangan mata uang kripto (cryptocurrency), mengarahkan ke halaman web spam, dan dalam beberapa kasus, ke situs web rusak (telah diretas).
Imperva mengatakan botnet itu mulanya masih berkekuatan kecil, tetapi setelah berbulan-bulan pertumbuhannya konstan, dan berkembang menjadi raksasa canggih yang mampu menyerang ribuan situs per hari.
Perubahan terbesar terjadi pada Mei 2020 ketika botnet meningkatkan infrastruktur command-and-control (C&C), tetapi juga senjata peretasannya.
Saat ini KashmirBlack "dikelola oleh satu server C&C dan menggunakan lebih dari 60 server sebagai bagian dari infrastrukturnya," kata Imperva.
"[Botnet] menangani ratusan bot, masing-masing berkomunikasi dengan C&C untuk menerima target baru, melakukan serangan brute force, memasang pintu belakang (backdoors), dan memperluas ukuran botnet," Imperva menambahkan.
KashmirBlack berkembang dengan memindai situs-situs web yang masih menggunakan perangkat lunak usang. Dari situ, botnet menggunakan senjata peretasan (exploit) untuk mengetahui kerentanan yang ada dan menginfeksi situs webnya.
Beberapa server yang diretas kemudian digunakan untuk spam atau penambangan kripto, tetapi juga untuk menyerang situs lain dan menjaga botnet tetap hidup.[]
