NSA: Peretas China gunakan Botnet untuk bajak ribuan perangkat IoT
Para peretas memanfaatkan berbagai celah keamanan yang sudah dikenal pada perangkat-perangkat yang diproduksi oleh vendor seperti Zyxel, Fortinet, dan QNAP.
Peretas yang terkait dengan Republik Rakyat Tiongkok (RRT) dilaporkan telah membajak ribuan perangkat internet, termasuk router kecil untuk kantor/rumah (SOHO), firewall, storage berbasis jaringan (NAS), dan perangkat Internet of Things (IoT) guna menciptakan botnet besar. Informasi ini terungkap dalam laporan gabungan dari Biro Investigasi Federal (FBI), Cyber National Mission Force (CNMF), dan Badan Keamanan Nasional (NSA) yang dirilis pada 18 September 2024.
Dilansir dari Cybersecurity News (19/9), Botnet tersebut, yang dikelola oleh perusahaan berbasis di RRT bernama Integrity Technology Group, telah aktif sejak pertengahan 2021. Hingga Juni 2024, botnet ini terdiri dari lebih dari 260.000 perangkat yang terkompromi, dengan korban tersebar di Amerika Utara, Amerika Selatan, Eropa, Afrika, Asia Tenggara, dan Australia.
Di antara negara-negara yang terdampak, Amerika Serikat menjadi negara dengan jumlah perangkat terbajak terbesar, mencapai 126.000 atau 47,9% dari total perangkat yang terkena. Selain itu, Vietnam, Jerman, Romania, Hong Kong, dan Kanada juga masuk dalam daftar negara dengan jumlah perangkat yang signifikan. Indonesia tidak disebutkan secara langsung, namun ancaman ini bisa menjadi sinyal peringatan bagi semua pihak terkait keamanan siber.
Para peretas memanfaatkan berbagai celah keamanan yang sudah dikenal pada perangkat-perangkat yang diproduksi oleh vendor seperti Zyxel, Fortinet, dan QNAP. Setelah perangkat berhasil dibajak, mereka diinfeksi dengan varian malware Mirai yang telah dimodifikasi, memungkinkan peretas mengendalikan perangkat secara jarak jauh. Botnet ini kemudian digunakan untuk serangan seperti distributed denial of service (DDoS) dan aktivitas internet berbahaya lainnya.
Botnet ini dikelola melalui server komando dan kontrol (C2) dengan database MySQL yang menyimpan informasi perangkat yang terkompromi. Aktor ancaman tersebut menggunakan alamat IP yang terdaftar di China Unicom Beijing Province Network untuk mengakses aplikasi manajemen botnet bernama "Sparrow." Aplikasi ini memungkinkan peretas berinteraksi dengan botnet dan mengeluarkan perintah ke perangkat korban.