FBI telah menguasai botnet besar yang diyakini dikendalikan oleh peretas yang bekerja untuk Kremlin. Malware, yang dikenal sebagai VPNFilter, ditemukan oleh para peneliti yang bekerja di CISCO Talos. VPNFilter memungkinkan peretas untuk membajak router mengubahnya menjadi jaringan VPN jahat yang digunakan oleh peretas untuk menutupi alamat IP mereka yang sebenarnya selama serangan sekunder.


Menurut sebuah laporan yang dirilis kemarin, payload telah berada di liar sejak setidaknya 2016. Pada waktu itu, diyakini telah menginfeksi sekitar 500.000 mesin di 54 negara. Menurut Talos, kecanggihan sistem malware modular kemungkinan berarti itu adalah serangan yang disponsori negara.

Agen FBI telah mengklaim bahwa aktor ancaman kemungkinan adalah Sofacy - sebuah kelompok peretasan yang dikendalikan oleh Kremlin yang telah dikenal dengan banyak nama selama lima tahun terakhir (APT28, Sednit, Beruang Mewah, Badai Gadai, Grizzly Steppe, STRONTIUM, dan Tim Tsar). Dari keterangan tertulis:

"Kelompok Sofacy adalah kelompok spionase dunia maya yang diyakini berasal dari Rusia. Kemungkinan beroperasi sejak 2007, kelompok ini diketahui secara tipikal menargetkan pemerintah, militer, organisasi keamanan, dan target nilai intelijen lainnya."

Beruang Mewah 2

Seperti eksploit berbasis router lainnya, VPNFilter menggunakan vektor serangan multi-stage. Setelah ditempatkan pada router korban, itu berkomunikasi dengan server Command and Control (CnC) untuk mengunduh muatan tambahan.

Tahap dua dari eksploitasi memungkinkan peretas untuk mencegat lalu lintas, mencuri data, melakukan pengumpulan file, dan menjalankan perintah. Mungkin juga bahwa muatan tambahan mungkin telah dikirimkan menginfeksi perangkat jaringan yang terpasang pada router. Padahal menurut Talos:

“Jenis perangkat yang ditargetkan oleh aktor ini sulit dipertahankan. Mereka sering berada di batas jaringan, tanpa sistem perlindungan intrusi (IPS), dan biasanya tidak memiliki sistem perlindungan berbasis host yang tersedia seperti paket anti-virus (AV). "

Fbi Vpnfilter

FBI mengambil alih

Setelah memantau situasi selama berbulan-bulan, peneliti keamanan yang bekerja dengan FBI mampu menunjukkan dengan tepat nama domain yang digunakan oleh peretas canggih. Menurut pernyataan tertulis yang diajukan kemarin, para agen telah menangani kasus ini sejak Agustus ketika mereka secara sukarela diberikan akses ke router yang terinfeksi oleh seorang penduduk Pittsburgh.

Setelah berita tentang infeksi diumumkan kepada publik, FBI bertindak cepat untuk mendapatkan surat perintah dari hakim Pennsylvania untuk menguasai toKnowAll.com domain.

Sekarang setelah domain CnC berada di bawah kendali FBI, konsumen di seluruh dunia dengan router yang berisiko diminta untuk mem-boot ulang perangkat mereka untuk menjadikannya telepon di rumah. Ini akan memberi FBI gambaran yang jelas tentang persis berapa banyak perangkat di seluruh dunia yang terpengaruh.

FBI mengatakan bermaksud untuk membuat daftar semua alamat IP yang terinfeksi untuk menghubungi ISP, swasta, dan mitra sektor publik, untuk membersihkan setelah infeksi global - sebelum server CnC berbahaya baru dapat diatur untuk membangun kembali botnet.

Tanda Tanya Trust Fbi

Apakah Anda mempercayai FBI?

Sementara bagi kebanyakan orang berita itu mungkin tampak seperti kisah sukses bagi orang-orang baik, sebagai pendukung privasi digital, sulit untuk tidak mendengar bel alarm berbunyi. Tim di ProPrivacy.com merasa sedikit tidak nyaman tentang akuisisi FBI atas botnet yang kuat ini. Sementara FBI dapat menggunakan data yang dikumpulkan untuk memberi tahu pihak yang terinfeksi dan memperbaiki situasi, apa yang menghentikan mereka dari menggunakan botnet untuk menyebarkan muatannya sendiri?

Menurut Vikram Thakur, direktur teknis di Symantec,

"Perintah pengadilan hanya memungkinkan FBI memonitor metadata seperti alamat IP korban, bukan konten". Thakur berpendapat bahwa “tidak ada bahaya malware mengirim FBI riwayat browser korban atau data sensitif lainnya".

Mengingat bahwa pernyataan tertulis agen khusus itu meminta agar semuanya harus 'disimpan di bawah segel' selama 30 hari untuk membantu penyelidikan, orang tidak dapat tidak bertanya-tanya apakah retorika terbaru FBI benar-benar sesuai dengan agendanya..

Reset pabrik atau router baru?

Untuk alasan ini, jika Anda benar-benar menghargai privasi, dan mungkin Anda sebenarnya lebih suka gagasan mengirim data Anda ke peretas di Kremlin daripada di FBI - kami sarankan melakukan sedikit lebih banyak daripada sekadar menghidupkan dan mematikan perute. Symantec telah menyarankan:

"Melakukan reset keras perangkat, yang mengembalikan pengaturan pabrik, harus menghapusnya bersih dan menghapus Tahap 1. Dengan sebagian besar perangkat, ini dapat dilakukan dengan menekan dan menahan tombol reset kecil ketika daya bersepeda perangkat. Namun, ingatlah bahwa setiap detail konfigurasi atau kredensial yang disimpan pada router harus didukung karena ini akan dihapus oleh hard reset."

Namun, satu-satunya cara untuk memastikan bahwa router Anda belum dikompromikan oleh pemerintah AS adalah pergi keluar dan membeli yang baru..

Berikut adalah daftar semua perute yang terkena dampak yang diketahui dan perangkat penyimpanan yang terhubung jaringan (NAS) QNAP:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS untuk Cloud Core Routers: Versi 1016, 1036, dan 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Perangkat QNAP NAS lain yang menjalankan perangkat lunak QTS
  • TP-Link R600VPN

Pendapat adalah milik penulis sendiri.

Kredit gambar judul: Gambar VPNFilter resmi dari Talos

Kredit gambar: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me