Router Crapfest: Bangun 18.000 Botnet Yang Kuat Hanya Dalam Sehari

Seorang pembuat malware telah membangun 18.000 botnet yang kuat dalam rentang hanya satu hari.

Botnet baru ini ditemukan oleh peneliti keamanan dari NewSky Security, dan temuan mereka telah dikonfirmasi oleh Qihoo 360 Netlab, Rapid7, dan Greynoise.

Just in : IoT hacker identifying himself as "Anarchy" has claimed to hack about 18000+ Huawei routers.The vulnerability is 2017-17215, leaked last Christmas & used in satori

He also takes responsibility for massive uptick in Huawei scanning now as seen in @360Netlab scanmon. 1/n pic.twitter.com/qOATps9Dmv

— Ankit Anubhav (@ankit_anubhav) July 18, 2018

Botnet dibangun hanya dengan satu eksploit

Botnet telah dibangun dengan mengeksploitasi kerentanan pada router Huawei HG532, yang dilacak sebagai CVE-2017-17215.

Pemindaian untuk kerentanan ini, yang dapat dieksploitasi melalui port 37215, mulai pada pagi tanggal 18 Juli, menurut data yang dikumpulkan oleh sistem NetScan Netlab.

Menjelang malam, peneliti keamanan NewSky, Ankit Anubhav mengatakan botnet telah mengumpulkan 18.000 router.

Anubhav mengatakan, pembuat botnet mengulurkan tangan kepadanya untuk membual tentang tindakannya, bahkan berbagi daftar dengan alamat IP dari semua korban botnet.

Pembuat botnet adalah aktor ancaman yang dikenal

Dalang dari botnet tersebut mengidentifikasi dirinya dengan nama samaran “Anarchy.” Menjawab pertanyaan dari Anubhav, Anarchy tidak memberikan alasan mengapa ia menciptakan botnet.

Tapi Anubhav percaya Anarchy mungkin benar-benar seorang hacker yang sebelumnya diidentifikasi sebagai Wicked, yang Anubhav wawancarai di blog NewSky dan Fortinet tampilkan dalam laporan di: https://www.fortinet.com/blog/threat-research/a-wicked-family-of-bots.html

Wicked/Anarchy adalah pembuat malware terkenal yang, di masa lalu, telah menciptakan variasi dari Mirai. Variasi ini dan botnet masing-masing dikenal sebagai Wicked, Omni, dan Owari (Sora), dan sebelumnya telah digunakan untuk serangan DDoS.

Botnet juga akan menargetkan router Realtek

Tetapi masalah sebenarnya di sini bukanlah pembuat malware yang melakukan apa yang terbaik untuknya. Masalahnya adalah kemudahan relatif dimana Anarchy membangun botnet raksasa dalam satu hari.

Dia tidak melakukannya dengan zero-day atau beberapa kerentanan yang belum pernah dieksploitasi sebelumnya. Dia melakukannya dengan kerentanan profil tinggi yang telah dimanfaatkan banyak botnet sebelumnya.

CVE-2017-17215 adalah kerentanan  yang telah disalahgunakan oleh setidaknya dua versi botnet Satori dan banyak dari cabang-cabang berbasis Mirai lainnya. Mungkin sebagian orang akan berpikir bahwa sekarang pengguna akan memiliki perangkat yang dipatch atau ISP akan memblokir koneksi masuk pada port 37215.

Tapi Anarchy belum selesai. Pembuat botnet mengatakan kepada Anubhav bahwa ia juga berencana untuk menargetkan CVE-2014-8361, kerentanan di router Realtek yang dieksploitasi melalui port 52869.

“Pengujian telah dimulai untuk mengeksploitasi Realtek pada malam hari,” kata Anubhav. Dan sekarang, baik Rapid7 dan Greynoise mengkonfirmasi bahwa pemindaian untuk Realtek telah meluap.

the hrbrmstr-greynoise-twitter-bot at your service, sir ;-p pic.twitter.com/emh8sVUva8

— boB • Everywhere truly is Baltimore • Rudis (@hrbrmstr) July 19, 2018

IOC, milik NewSky Security dan CERT Tunisia:

• SHA-256: 61440574aafaf3c4043e763dd4ce4c628c6c92fb7d7a2603076b3f60f2813f1b [Sumber]
• C2: http[:]//104[.]244[.]72[.]82 [Sumber]