Elyse Betters Picaro / ZDNET
Apakah Anda memiliki router Asus? Jika iya, perangkat Anda mungkin menjadi salah satu dari ribuan yang dikompromikan dalam kampanye besar oleh peretas yang mencoba mengeksploitasinya. Dalam postingan blog yang diterbitkan Rabu, firma keamanan GreyNoise mengungkapkan bahwa serangan ini dilancarkan oleh aktor yang mereka sebut sebagai "lawan dengan sumber daya besar dan kemampuan tinggi."
Baca juga: Kebocoran data besar ungkap 184 juta sandi untuk Google, Microsoft, Facebook, dan lainnya
Untuk mendapatkan akses awal, penyerang menggunakan teknik brute-force login dan dua metode berbeda untuk melewati autentikasi bawaan. Mereka juga mengeksploitasi kerentanan tertentu yang belum memiliki nomor CVE resmi. Setelah masuk ke router, mereka dapat menjalankan perintah sistem sembarang dengan memanfaatkan celah keamanan yang dikenal sebagai CVE-2023-39780.
Meskipun tidak ada malware yang diinstal, para penyerang jelas meninggalkan jejak.
Lebih dari 9.000 router Asus terdampak
Dengan menggunakan pengaturan bawaan Asus, mereka menyiapkan akses SSH, cara aman untuk terhubung ke perangkat jarak jauh. Mereka juga memasang backdoor untuk memudahkan akses kembali ke firmware router tanpa perlu autentikasi. Backdoor disimpan di memori non-volatil (NVRAM), sehingga tidak bisa dihilangkan dengan me-reboot atau memperbarui firmware. Agar tak terdeteksi, mereka bahkan mematikan logging yang seharusnya mencatat akses mereka.
Baca juga: Mengapa bisnis kecil tetap jadi sasaran peretas – dan 8 praktik keamanan terbaik untuk UMKM
Berdasarkan data pemindai internet Censys, lebih dari 9.000 router Asus terdampak, dan angka ini terus bertambah. Namun, GreyNoise menyatakan dalam tiga bulan terakhir hanya melihat 30 permintaan akses terkait. Ini menunjukkan kampanye berjalan perlahan dan diam-diam.
Jika tak ada malware, apa tujuannya?
"Serangan ini tampaknya bagian dari operasi diam-diam untuk membentuk jaringan perangkat ber-backdoor – mungkin sebagai persiapan botnet di masa depan," tulis GreyNoise.
Siapa dalangnya?
"Taktik yang digunakan – akses diam-diam, penggunaan fitur sistem bawaan untuk persistensi, dan penghindaran deteksi – konsisten dengan operasi jangka panjang canggih, termasuk yang terait dengan aktor APT dan jaringan ORB. Meski GreyNoise tidak menyebut pelaku spesifik, tingkat kecanggihannya menunjukkan lawan dengan sumber daya besar."
Baca juga: Router lama bisa jadi ancaman keamanan – inilah sebabnya dan solusinya
Bahasa yang digunakan GreyNoise, terutama penyebutan APT, mengindikasikan serangan oleh negara atau pihak yang bekerja untuk pemerintah bermusuhan. Meski tak menyebut negara tertentu, serangan serupa pernah dikaitkan dengan China, Rusia, Korea Utara, dan Iran.
GreyNoise menemukan serangan ini pada 18 Maret menggunakan alat analisis berbasis AI, Sift, dan grid observasinya. Namun, mereka baru mengungkapkannya sekarang untuk memberi waktu berkonsultasi dengan mitra pemerintah dan industri.
"Dalam beberapa tahun terakhir, perangkat jaringan, terutama untuk segmen rumahan, SOHO, dan UMKM, semakin sering diserang," kata John Bambenek, presiden Bambenek Consulting, kepada ZDNET. "Risiko bagi rumah tangga minimal – router mereka akan digunakan untuk menyerang pihak lain. Peretas canggih menarget perangkat ini karena mereka punya rencana besar, bukan sekadar mining kripto."
Apa yang harus dilakukan jika memiliki router Asus?
Untuk memeriksa apakah perangkat Anda terdampak, masuk ke firmware router. Cari opsi "Enable SSH" di bawah pengaturan Service atau Administration. Jika router Anda kena serangan, pengaturan akan menunjukkan bahwa seseorang bisa masuk via SSH di port 53282 dengan kunci publik: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Biasanya, memperbarui firmware akan menyelesaikan masalah, apalagi Asus telah memperbaiki celah CVE-2023-39780 lewat pembaruan terbaru. Jika router belum terinfeksi, segera update firmware. Tapi jika sudah dikompromikan, backdoor tetap ada bahkan setelah update.
Baca juga: Cara mudah tambah koneksi internet cadangan untuk kantor rumahan – dan mengapa perlu
Dalam kasus ini, Asus menyarankan untuk menghapus atau menonaktifkan entri SSH. Blokir juga empat alamat IP berikut: 101.99.91.151, 101.99.94.173, 79.141.163.179, dan 111.90.146.237. Terakhir, lakukan reset pabrik dan konfigurasi ulang manual untuk memastikan tidak ada sisa backdoor.
"Untuk mayoritas pengguna, mematikan akses admin eksternal (baik SSH maupun HTTPS) sangat disarankan," kata Bambenek. "Sebenarnya, ini seharusnya menjadi pengaturan default karena sangat sedikit orang yang benar-benar memerlukan akses antarmuka admin."
Dapatkan berita teratas setiap pagi di kotak masuk Anda dengan newsletter Tech Today.