Perkembangan Malware VPNFilter Yang Berdampak Buruk

Perkembangan Malware VPNFilter Yang Berdampak Buruk

Malware VPNFilter yang berkembang dengan pesat ternyata membawa dampak pengaruh buruk. Cisco Talos dan kelompok intelijen tambahannya, menengarai bahwa malware VPNFilter yang ditemukan pada bulan-bulan sebelumnya jauh lebih buruk daripada yang diperkirakan semula. Juga, daftar perangkat yang diketahui terpengaruh telah berkembang, secara efektif meningkatkan permukaan serangan VPNFilter.

Malware VPNFilter
Images by Haidar

Pada hari-hari pertama temuan Cisco pertama kali diterbitkan, diperkirakan bahwa 500.000 perangkat dari lebih 54 negara terpengaruh. Namun, statistik ini telah meningkat secara dramatis dengan beberapa laporan memperkirakan ke dalam jutaan.

Malware VPNFilter sangat mirip malware BlackEnergy yang menargetkan perangkat di Ukraina dalam skala besar. Para peneliti percaya bahwa kemiripan ini dan fakta bahwa malware ini memanfaatkan infrastruktur perintah dan kontrol (C2) yang didedikasikan untuk negara itu bisa menjadi indikasi bahwa malware VPNfilter disponsori oleh negara.

Bagaimana Cara Bekerja Maleware VPNFilter

VPNFilter adalah malware modular yang bekerja secara bertahap. Berikut ini adalah pemecahan teknis setiap tahap dari malware VPNFilter :

Tahap Pertama

VPNFilter menginfeksi perangkat, biasanya router rumahan atau SOHO atau Perangkat Network Attached Storage (NAS). VPNFilter ini akan menetapkan sebuah script yg akan berjalan dalam jangka panjang didalam perangkat. Ini memberi VPNFilter kemampuan untuk menerima perintah reboot, yang membuatnya jauh berbeda dari malware khusus IOT lainnya. Seluruh tujuan Tahap 1 adalah untuk menanampak script di perangkat dan untuk berkomunikasi dengan berbagai server C2.  Scipt-srcipt VPNFilter tersebut akan mengantarkannya ke modul Tahap 2 yang dibutuhkan untuk menyampaikan muatan utamanya.

Tahab Kedua

Pada tahap ini, malware VPNFilter melakukan muatan utamanya yang sudah tersimpan, yaitu pengumpulan intelijen. Modul memberikan VPNFilter kemampuan untuk mengumpulkan file Anda. Menjalankan perintah jarak jauh, mengeksfiltrasi data, dan mengelola perangkat yang terinfeksi dari jarak jauh. Ada juga modul perusak perangkat, yang disebut “dstr,” yang dikirimkan selama 3 tahab. Hal ini memberi VPNFilter kemampuan untuk menghapus file untuk operasi perangkat normal dan menimpa firmware perangkat. Melakukannya menjadikan perangkat tidak dapat digunakan. Modul destruktif ini dapat secara selektif menargetkan perangkat tertentu yang mengontrol atau menghapus perangkat secara massal. Alasan yang mungkin untuk kemampuan merusak ini adalah untuk menghapus keberadaan perangkat selama penyelidikan forensik digital, tanpa meninggalkan jejak di belakang.

Tahab Ketiga

Modul tambahan digunakan untuk mendukung Tahap 2. Pada awalnya, hanya dua modul yang dikenal. Modul pertama termasuk packet sniffer yang dapat mengumpulkan arus lalu lintas melalui perangkat dan modul kedua adalah modul komunikasi yang memungkinkan tahap 2 untuk berkomunikasi melalui Tor. Namun, modul ketiga ditemukan, yang disebut modul “ssler”. Modul ssler menyediakan kemampuan eksfiltrasi data dan injeksi JavaScript dengan mencegat semua lalu lintas yang melewati perangkat yang ditujukan untuk port TCP 80 atau port HTTP.

Dengan menyuntikkan perintah yang memasukkan modul iptables baru ke kernel perangkat yang terinfeksi, semua permintaan web keluar yang ditujukan ke port 80 dapat disadap, disimpan, dan dimanipulasi sebelum dikirim ke server web yang sah. Akibatnya, semua string dengan https: // dapat diturunkan ke http:// Ini berarti bahwa trafik https yang sebelumnya aman sekarang merupakan trafik http yang tidak terenkripsi. Ini adalah dampak buruk. Dengan modul ssler, semua permintaan http disimpan ke disk untuk eksfiltrasi data. Selain itu, modul ssler memeriksa setiap permintaan khusus untuk header otorisasi atau kredensial masuk. Setiap permintaan POST ke accounts.google.com juga akan dikumpulkan.

Bagaimana Perangkat Infeksi VPNFilter?

Vektor infeksi yang mungkin adalah melalui kredensial login default. Semua perangkat jaringan dilengkapi dengan nama pengguna dan kata sandi default. Kredensial ini mudah ditebak dan sering tersedia secara online. Terserah pemilik perangkat untuk mengubah kredensial ini setelah mereka membeli perangkat. Kata sandi yang kuat dapat membantu melindungi perangkat.

Perute lama dan perangkat yang terpengaruh juga rentan terhadap eksploitasi yang diketahui. Dan, jika Anda belum memperbarui perangkat Anda dalam waktu yang lama, itu mungkin rentan terhadap infeksi oleh VPNFilter.

Jika Perangkat Anda Terinfeksi, Apa Yang Harus Anda Lakukan?

FBI baru-baru ini mengeluarkan saran untuk semua orang untuk me-reboot router mereka. Mem-boot ulang perangkat tidak akan menghapus VPNFilter, tetapi akan mengembalikannya kembali ke Tahap 1 (ingat bahwa muatan utama VPNFilter dimulai pada Tahap 2). Dengan me-reboot perangkat Anda, Anda dapat menyimpan VPNFilter di Tahap 1, tetapi hanya sampai VPNFitler menginstal ulang modul jahat untuk Tahap 2, yang secara teknis dapat terjadi kapan saja. Setelah reboot, pengguna harus menginstal pembaruan apa pun untuk perangkat mereka.
Hal terbaik yang harus dilakukan untuk memastikan VPNFilter dihapus dari perangkat Anda adalah dengan melakukan reset pabrik (hard reset). Ini akan mengembalikan perangkat ke pengaturan pabrik, yang berarti Anda harus mengonfigurasi ulang perangkat Anda setelah reboot. Jika Anda memiliki router, itu berarti mengkonfigurasi ulang kredensial login, SSID, kata sandi jaringan, pengaturan firewall, dan sebagainya. Namun, jika Anda memiliki cadangan file konfigurasi Anda, itu bisa menghemat waktu Anda.