Kelompok spionase cyber, yang juga disebut sebagai advanced persistent threats (APTs), menggunakan router yang diretas lebih dan lebih banyak lagi selama serangan mereka, menurut para peneliti di Kaspersky Labs.
“Ini belum tentu sesuatu yang baru. Bukan sesuatu yang baru saja meledak,” kata Costin Raiu, direktur Global Research and Analysis Team (GReAT) di Kaspersky Labs.
“Kami telah melihat banyak serangan router selama bertahun-tahun. Contoh yang sangat baik adalah SYNful Knock, implan jahat untuk Cisco [router] yang ditemukan oleh FireEye tetapi juga aktor ancaman seperti Regin dan CloudAtlas. Kedua APT telah diketahui memiliki implan router proprietary.”
Jumlah APT yang menggunakan router dalam peretasannya telah meningkat
Kini jumlah APT yang memanfaatkan router untuk serangan telah naik dalam setahun terakhir, dan taktik ini telah menjadi sangat tersebar luas pada tahun 2018.
Misalnya, Slingshot APT (diyakini sebagai operasi JSOC Angkatan Darat AS yang menargetkan militan ISIS) telah menggunakan router MikroTik yang diretas untuk menginfeksi korban dengan malware.
Demikian pula, Inception Framework APT, operasi spionase cyber yang disponsori negara, meretas router rumah dan membangun jaringan proxy yang dapat digunakan untuk bersembunyi, yang dikenal sebagai UPnProxy.
Tapi ini hanya dua kasus yang diketahui. Masih banyak lagi contoh lain yang tidak diketahui publik. Raiu merinci satu.
“Dari penelitian kami sendiri, kami telah melihat LuckyMouse APT [menggunakan router] untuk hosting server command-and-control mereka, yang agak tidak biasa,” kata peneliti. “Ini adalah sesuatu yang jarang.”
“Kami percaya bahwa mereka telah berhasil meretas router melalui kerentanan SMB dan ini memungkinkan mereka untuk mengunggah skrip CGI mereka yang digunakan untuk C&C.”
Raiu: Banyak hal terjadi di latar belakang
LuckyMouse adalah APT baru. Tidak ada laporan publik yang merinci kegiatan APT LuckyMouse, tetapi ini adalah salah satu dari beberapa kasus di mana para peneliti telah berhasil menghubungkan peretasan router dengan operasi kelompok spionase cyber. Lebih banyak insiden masih perlu diselidiki, seperti kasus misterius reboot router yang disinkronkan.
“Satu hal yang menarik pada Q1 [2018], kami telah melihat saran Govcert tentang reboot yang tidak biasa untuk merek router terkemuka. Dalam beberapa kasus, reboot ini terjadi pada saat yang sama pada beberapa perangkat yang disebarkan di infrastruktur, menyarankan bahwa entah bagaimana terkoordinasi,” kata Raiu.
“Sayangnya, tidak ada banyak informasi yang tersedia tentang ini. Kami tidak tahu apakah itu serangan berbahaya atau jika itu mungkin bagian perangkat keras, tapi pasti, itu adalah sesuatu yang mengisyaratkan fakta bahwa serangan router itu panas dan mungkin ada banyak hal lain terjadi di latar belakang yang tidak kita lihat.”
US Govt: Router adalah vektor serangan yang diminati
“Untuk mendukung teori ini, pemerintah AS merilis sebuah dokumen yang mengatakan bahwa serangan router telah menjadi vektor serangan yang diminatii untuk sejumlah pelaku jahat selama beberapa tahun,” Raiu menambahkan.
“Dan saya pikir ini adalah pernyataan yang cukup signifikan karena jika Anda melihat jumlah laporan tentang malware router dan serangan router, itu sebenarnya sangat sedikit dari mereka. Jadi mengatakan bahwa ini adalah rute serangan yang diminati ini sebenarnya berarti bahwa ada banyak hal yang terjadi itu tidak kita lihat.
Jadi, semuanya, saya akan mengatakan bahwa kami melihat semakin banyak serangan router ini, dan pasti kami akan melihat lebih banyak lagi di bulan-bulan mendatang sepanjang tahun dan tahun-tahun mendatang pasti.”
Saat ini, Kaspersky mengklasifikasikan router sebagai “area pertumbuhan risiko” untuk operasi APT, di samping gelombang baru-baru ini kerentanan CPU yang baru diungkapkan, seperti Meltdown, Spectre, Chimera, RyzenFall, Fallout, dan MasterKey, yang rekan peneliti Kaspersky Vicente Diaz lihat sebagai ancaman, sebagai pelaku ancaman akan belajar membuat senjata untuk serangan.
