NSA: Peretas China gunakan Botnet untuk bajak ribuan perangkat IoT
Para peretas memanfaatkan berbagai celah keamanan yang sudah dikenal pada perangkat-perangkat yang diproduksi oleh vendor seperti Zyxel, Fortinet, dan QNAP.
Peretas yang terkait dengan Republik Rakyat Tiongkok (RRT) dilaporkan telah membajak ribuan perangkat internet, termasuk router kecil untuk kantor/rumah (SOHO), firewall, storage berbasis jaringan (NAS), dan perangkat Internet of Things (IoT) guna menciptakan botnet besar. Informasi ini terungkap dalam laporan gabungan dari Biro Investigasi Federal (FBI), Cyber National Mission Force (CNMF), dan Badan Keamanan Nasional (NSA) yang dirilis pada 18 September 2024.
Dilansir dari Cybersecurity News (19/9), Botnet tersebut, yang dikelola oleh perusahaan berbasis di RRT bernama Integrity Technology Group, telah aktif sejak pertengahan 2021. Hingga Juni 2024, botnet ini terdiri dari lebih dari 260.000 perangkat yang terkompromi, dengan korban tersebar di Amerika Utara, Amerika Selatan, Eropa, Afrika, Asia Tenggara, dan Australia.
Di antara negara-negara yang terdampak, Amerika Serikat menjadi negara dengan jumlah perangkat terbajak terbesar, mencapai 126.000 atau 47,9% dari total perangkat yang terkena. Selain itu, Vietnam, Jerman, Romania, Hong Kong, dan Kanada juga masuk dalam daftar negara dengan jumlah perangkat yang signifikan. Indonesia tidak disebutkan secara langsung, namun ancaman ini bisa menjadi sinyal peringatan bagi semua pihak terkait keamanan siber.
Para peretas memanfaatkan berbagai celah keamanan yang sudah dikenal pada perangkat-perangkat yang diproduksi oleh vendor seperti Zyxel, Fortinet, dan QNAP. Setelah perangkat berhasil dibajak, mereka diinfeksi dengan varian malware Mirai yang telah dimodifikasi, memungkinkan peretas mengendalikan perangkat secara jarak jauh. Botnet ini kemudian digunakan untuk serangan seperti distributed denial of service (DDoS) dan aktivitas internet berbahaya lainnya.
Botnet ini dikelola melalui server komando dan kontrol (C2) dengan database MySQL yang menyimpan informasi perangkat yang terkompromi. Aktor ancaman tersebut menggunakan alamat IP yang terdaftar di China Unicom Beijing Province Network untuk mengakses aplikasi manajemen botnet bernama "Sparrow." Aplikasi ini memungkinkan peretas berinteraksi dengan botnet dan mengeluarkan perintah ke perangkat korban.
NSA dan FBI menyarankan berbagai langkah mitigasi untuk melindungi perangkat dari botnet ini, termasuk menonaktifkan layanan dan port yang tidak digunakan, menerapkan segmentasi jaringan, memantau lalu lintas jaringan yang tinggi, memasang pembaruan keamanan, serta mengganti kata sandi default dengan yang lebih kuat. Pengguna perangkat IoT dan SOHO dihimbau untuk segera mengambil langkah-langkah ini guna mencegah perangkat mereka dibajak oleh botnet.
Ancaman serangan siber yang disponsori negara terus meningkat, dan laporan ini menyoroti pentingnya langkah-langkah keamanan siber yang kuat untuk melindungi infrastruktur teknologi dari serangan semacam ini.
