Kumpulan jutaan komputer yang diretas yang dikenal sebagai Aisuru dan Kimwolf telah digunakan untuk melancarkan beberapa serangan distributed denial-of-service (DDoS) terbesar yang pernah tercatat. Kini, lembaga penegak hukum Amerika Serikat telah membersihkan keduanya dari internet, bersama dengan dua kawanan lain komputer yang dibajak—yang dikenal sebagai botnet—dalam satu operasi penurunan massal.
Pada Kamis, Departemen Kehakiman AS, bekerja sama dengan lembaga pemberantas kejahatan siber di dalam Departemen Pertahanan AS yang dikenal sebagai Defense Criminal Investigative Service, mengumumkan bahwa mereka telah membongkar empat botnet raksasa dalam satu operasi. Mereka menghapus server komando-dan-kendali yang digunakan untuk mengendalikan pasukan perangkat yang dikompromikan yang dijalankan peretas, dikenal dengan nama JackSkid, Mossad, Aisuru, dan Kimwolf. Bersama-sama, operator keempat botnet tersebut telah mengumpulkan lebih dari 3 juta perangkat, menurut Departemen Kehakiman. Mereka sering menjual akses ke perangkat-perangkat itu kepada peretas kriminal lain, serta menggunakannya untuk membombardir korban dengan banjir lalu lintas serangan yang luar biasa besar guna melumpuhkan situs web dan layanan internet.
Aisuru dan Kimwolf, sebuah botnet terpisah namun terkait dengan Aisuru, bersama-sama terdiri dari lebih dari satu juta perangkat, menurut firma pertahanan DDoS Cloudflare. Aisuru menginfeksi berbagai perangkat mulai dari DVR, peralatan jaringan, hingga kamera web, sedangkan cabangnya, Kimwolf, menginfeksi perangkat Android termasuk TV pintar dan set-top box. Cloudflare menyatakan bahwa dua botnet tersebut, bekerja sama, melancarkan serangan siber terhadap pelanggan Cloudflare pada November lalu yang mencapai lebih dari 30 terabit data per detik—hampir tiga kali lipat ukuran serangan sejenis terbesar sebelumnya.
Tidak ada penangkapan yang langsung diumumkan bersamaan dengan operasi ini, namun pernyataan Departemen Kehakiman mencatat bahwa pemerintah AS berkolaborasi dengan otoritas Kanada dan Jerman, “yang menyasar individu-individu yang mengoperasikan botnet ini.”
“Amerika Serikat berkomitmen teguh untuk menjaga infrastruktur internet kritis dan memerangi penjahat siber yang membahayakan keamanannya, di mana pun mereka berada,” tulis Jaksa AS Michael J. Heyman dalam sebuah pernyataan.
Dari keempat botnet yang dinetralkan dalam operasi ini, Aisuru telah meraih ketenaran paling buruk, berkat serangkaian serangan siber pemecah rekor atau hampir memecahkan rekor yang dilancarkannya musim gugur lalu. Botnet ini, yang penggunaannya disewakan seperti banyak layanan “booter” sejenis yang menawarkan kemampuan disruptif brute-force mereka kepada siapa pun yang mau bayar, paling terlihat menyerang layanan permainan seperti Minecraft dan jurnalis keamanan siber independen Brian Krebs. Krebs, yang telah menyelidiki secara mendalam dunia bawah tanah botnet dan khususnya Aisuru, repeatedly diserang oleh botnet tersebut tahun lalu.
Kemudian pada November, Cloudflare menyerap serangan gabungan pemecah rekor dari Aisuru dan Kimwolf yang hanya berlangsung 35 detik tetapi mencapai 31,4 terabit per detik—volume lalu lintas serangan yang hampir tiga kali lipat dari serangan apa pun yang terlihat sebelumnya. (Perusahaan belum mengungkapkan pelanggan mana yang menjadi sasaran serangan itu.)
Dalam sebuah laporan tentang keadaan ekosistem DDoS, Cloudflare menggambarkan lalu lintas serangan maksimal dari gabungan botnet Aisuru dan Kimwolf setara dengan “populasi gabungan Inggris, Jerman, dan Spanyol semua mengetik alamat situs web secara bersamaan lalu menekan ‘enter’ pada detik yang sama.” Para analis Cloudflare menulis bahwa botnet ini mampu “melancarkan serangan DDoS yang dapat melumpuhkan infrastruktur kritis, meruntuhkan sebagian besar solusi perlindungan DDoS berbasis cloud warisan, dan bahkan mengganggu konektivitas seluruh bangsa.”
Faktanya, keempat botnet yang diganggu oleh operasi AS tersebut adalah varian dari Mirai, sebuah botnet internet-of-things yang pertama kali muncul pada 2016, memecahkan rekor pada masanya untuk ukuran serangan siber yang diakibatkannya, dan akhirnya digunakan dalam serangan terhadap penyedia layanan nama domain Dyn yang menjatuhkan 175.000 situs web secara bersamaan untuk sebagian besar wilayah Amerika Serikat. Basis kode Mirai sejak itu berfungsi sebagi titik awal bagi botnet internet-of-things lain selama satu dekade.