Kali ini diduga “script kiddie” ada di balik botnet Satori yang baru ditemukan dan telah membuat was-was peneliti keamanan karena peningkatan pesatnya dengan ukuran ratusan ribu perangkat yang disusupi.
Periset mengatakan bahwa seorang hacker bernama Nexus Zeta menciptakan Satori, yang mana merupakan varian dari malware IoT Mirai yang dirilis secara online pada bulan Oktober 2016.
Botnet Satori menggunakan zero-day Huawei
Satori, yang juga dilacak dengan nama Mirai Okiru, mulai hidup sekitar 23 November, saat malware mulai menyebar di Internet.
Satori sangat ganas, menginfeksi banyak perangkat dari masa mudanya. Tidak seperti versi Mirai sebelumnya, tidak bergantung pada serangan brute force yang aktif berbasis Telnet namun menggunakan eksploitasi.
Lebih tepatnya, ia memindai port 52869 dan menggunakan CVE-2014-8361 (memanfaatkan UPnP yang mempengaruhi Realtek, D-Link, dan perangkat lainnya), serta memindai port 37215 dan menggunakan eksploitasi yang tidak diketahui (pada saat itu).
Kemudian diketahui bahwa eksploitasi terakhir ini sebenarnya adalah zero-day (CVE-2017-17215) yang mempengaruhi router Huawei HG532. Huawei mengeluarkan update dan peringatan keamanan seminggu setelah serangan dimulai, setelah diberitahu oleh periset Check Point.
Server C&C Botnet Satori Down
Selama sepekan terakhir, perwakilan dari berbagai ISP dan perusahaan keamanan cyber turun tangan dan membuat down server C&C utama botnet Satori, menurut orang dalam industri yang berbicara kepada Error 404 Cyber News. Pada saat down, botnet menghitung antara 500.000 dan 700.000 bot, menurut perkiraan kasar.
Segera setelah down, aktivitas pemindaian pada port 52869 dan 37215 melihat lonjakan yang sangat besar, menurut wawasan yang diberikan kepada Error 404 Cyber News oleh periset Netlab. Skenario yang paling mungkin adalah Nexus Zeta ingin memindai dan menemukan bot untuk contoh Satori yang lain.
Script kiddie dibelakang Satori
Dalam sebuah laporan yang diterbitkan kemarin, periset Check Point mengungkapkan identitas penulis botnet Satori – Nexus Zeta tersebut.
Periset mengatakan mereka telah melacaknya karena dia mendaftarkan domain yang digunakan di infrastruktur Satori dengan alamat email yang juga digunakan untuk akun di HackForums.
“Meskipun dia jarang aktif di forum semacam itu, beberapa posting yang dia sampaikan membuat seorang aktor kurang profesional,” kata Check Point.
Sebuah posting forum yang dibuat pada 22 November, sehari sebelum aktivitas Satori mulai terdeteksi, menunjukkan Nexus Zeta meminta bantuan dalam menyiapkan botnet Mirai (Satori adalah varian Mirai).
