Tentang Malware Brickerbot / Internet Chemoterapy

Minggu lalu saya diminta pendapat tentang malware Brickerbot. Malware ini menyerang sistem IoT. Malware akan nyari perangkat IoT yang punya celah keamanan, kemudian setelah itu malware akan menghapus isi penyimpanan perangkat IoT tadi. Sehingga perangkat yang diserang sama Brickerbot ini gak bisa jalan, harus diinstal ulang dulu. Nah yang bikin heboh, baru-baru ini beredar sebuah email dari orang yang buat malware Brickerbot ini (The Doctor alias The Janitor). Di email itu dia menyatakan bahwa dia sudah pensiun. Konon malware Brickerbot ini sudah berhasil menyerang 10 juta perangkat IoT.

Internet Chemoterapy

Projek malware ini menurut dia sudah dijalankan selama 13 bulan, sejak november 2016 sampai Desember 2017. Proyek ini dia namakan Internet chemoterapy, namun kemudian di media lebih dikenal dengan nama ‘BrickerBot‘, ‘bad firmware upgrade’, ‘ransomware’, ‘large-scale network failure’ bahkan sempat juga ada yang menyebut teroris.

Menurut Janitor modul malwarenya dapat diunduh di http://91.215.104.140/mod_plaintext.py . Modul ini akan menjalankan payload python berbasis http dan telnet payloads. Payload ini menggunakan mengeksploitasi beberapa celah keamanan zero day. Dia juga mengembangkan sebuah sistem SSH crawler yang sangat berbahaya. Menurut dia menggunakan payload dan tools ini dia bisa mengambil alih ratusan ribu router pada sebuah ISP. Caranya dia akan mencari dan mengeksploitasi sebuah router yang vulnerable pada ISP tersebut, kemudian setelah itu memanfaatkan router tadi untuk menyerang ISP tersebut.

Jadi sejak tahun 2015 dia sudah mempelajari tentang celah keamanan pada IoT. Nah kemudian setelah munculnya Mirai botnet yang juga menyerang perangkat IoT. Dia melihat banyak perangkat IoT yang rentan terhadap serangan Mirai melalui celah keamanan CVE-2016-10372 kemudian dia terinspirasi untuk membuat proyek anti Iot botnet. Proyek ini menurut dia ditujukan untuk mencari perangkat IoT yang vulnerable kemudian merusak perangkat tersebut. Tujuannya supaya perangkat tersebut tidak dieksploitasi dan dikendalikan oleh Mirai botnet.

Menurut Janitor, ancaman terhadap IoT botnet ini cukup serius, namun belum disadari oleh perusahaan ISP besar. Menuurut dia beberapa ISP yang sempat jadi korban Brickerbot ini adalah BSNL, Telkom ZA, PLDT, PT Telkom dan beberapa ISP besar dari perbatasan selatan. Padahal menurut dia cara menangani serangan ini cukup mudah, diantaranya dengan mengkonfigurasi ulang ACL (access control list) dan segmentasi CPE. Janitor dalam emailnya bahkan menuliskan saran yang dapat dilakukan untuk mengamankan perangkat IoT, diantaranya adalah:

  • Uji keamanan perangkat ISP dengan layanan seperti Shodan. Khususnya layanan telnet, http, httpd ssh, tr069 dll. Seharusnya port-port tersebut diamankan
  • Jangan asal beli perangkat yang murah. Pelajari apakah pabrikan perangkat tersebut peduli dengan keamanan,  misalnya apakah pabrikan mengeluarkan update keamanan terhadap perangkat tersebut
  • Perlu ada aturan tentang standar keamanan minimal pada perangkat IoT seperti router, IP camera dll.
  • Dukung organisasi whitehat yang bekerja untuk mengamankan internet seperti GDI Foundation dan  Shadowserver Foundation

Timeline

Timeline dari proyek Internet Chemoterapy

  • November 2016,  Deutsche Telekom mendapat serangan Mirai. Namun perusahaan tersebut belum menyadarinya. Kemudian Brickerbot menjalankan payload TR069/64 yang menjalankan perintah ‘route del default’ pada router Deutsche Telekom. Setelah baru kemudian perusahaan menyadari adanya serangan pada router mereka.
  • Januari 11-12. Beberapa perangkat DVR di Washington DC yang terinfeksi dengan Mirai. Perangkat ini memiliki port control 6789. CTO  Archana Vemulapalli menemukan serangan Mirai yang dikombinasi dengan  /dev/urandom adalah serangan ransomware
  • Akhir Januari 2017 terjadi serangan skala besar pertama pada ISP. Penyebabnya karena perusahaan Kanada yang yang menjadi suplier modem Rogers Hitron mengeluarkan firmware baru yang membuka akses root melalui port 2323. Akses ini kemudian dieksploitasi oleh Mirai Botnet
  • Februari 2017,  Mirai Botnet mulai menyerang modem Netcore/Netis dan Broadcom CLI-based
  • Maret 2017,  pertumbuhan jumlah botnet brickerbot, penambahan payload web untuk mengantisipasi munculnya IoT botnet baru seperti  Imeij, Amnesia dan Persirai. Botnet mulai menyerang perangkat Avtech dan Wificam, sehingga menganggu beberapa bandara dan infrastruktur penting.
  • 6 April 2017 perusahaan keamanan Radware mulai mendeteksi keberadaan proyek ini dan memberi nama Brickerbot. Mulai mengembangkan teknik deteksi honeypots dan target lainnya
  • 11 April 2017 terjadi kasus penyerangan terhadap ISP Sierra Tel yang menggunakan perangkat Zykel dengan default telnet login supervisor/zyad1234. Mirai menemukan celah keamanan ini. Dan kemudian terjadi perebutan dengan brickebot. Namun berbeda dengan kasus lainnya, ISP ini tidak menutupi kasus ini dengan menggunakan alasan gangguan jaringan, gangguan power ataupun kegagalan upgrade firmware seperti ISP lainnya. Tapi menyampaikan bahwa modem diserang karena memiliki celah keamanan.
  • 14 April 2017 DHS mengeluarkan peringatan keamanan ancaman Brickerbot pada IoT
  • Akhir April 2017 pengembangan teknik serangan pada TR069/64.  Awal Mei perusahan keamanan Wordfence mengeluarkan laporan terjadi penurunan serangan botnet TR069 yang menyerang sistem WordPress. Namun beberapa minggu kemudian muncul serangan serupa dengan menggunakan eksploit yang berbeda
  • Mai 2017 perusahaan Akamai dalam laporan 2017 State of the Internet melaporkan terjadi penurunan 89% pada serangan DDoS dengan volume besar (diatas 100 Gbps), dan penurunan 30% pada total serangan DDoS. Serangan terbesar pada Q1 2017 adalah 120 Gbps, berbanding jauh dengan serangan pada Q4 2016 yang mencapai 517 Gbps.
  • Akhir Juli melakukan pengujian terhadap ISP APNIC. Ratusan ribu modem BSNL dan MTNL di India diserang.
  • 9 Agustus 2017, setelah APNIC dan AfriNIC mulai melakukan pembersihan pada LACNIC. Akibatnya jutaan pengguna telepon Movilnet di Venezuela tidak dapat menggunakan layanan. Dari kasus ini ditemukan Venezuela menggunakan DPI yang lebih agresif dibandingkan negara LACNIC lainnya.
  • Agustus 2017, F5 Labs mengeluarkan laporan  “The Hunt for IoT: The Rise of Thingbots” tentang peningkatan aktifitas serangan pada telnet.
  • Agustus 2017 Akamai mengeluarkan laporan Q2 2017 State of the Internet report dimana untuk pertama kalinya dalam 3 tahun, tidak ditemukan adanya provider yang mengalami serangan DDoS besar. Selain itu dilaporkan terjadi penurunan 28% dari serangan DDoS dibandingkan pada Q1 2017.
  • September 2017, setelah pengumuman celah keamanan  CVE-2017-7921 dan 7923, kemudian mulai dilakukan pengujian terhadap perangkat Hikvision. Janitor menemukan melakukan pembersihan pada sekitar pertengahan September. Jutaan perangkat DVR dan camera (Hikvision dan Dahua) dilumpuhkan pada rentang waktu 3 minggu. Penjelasan tentang kasus ini bisa dilihat pada link berikut: http://depastedihrn3jtw.onion.link/show.php?md5=62d1d87f67a8bf485d43a05ec32b1e6f
  • 28 September 2017 Verisign mengeluarkan laporan bahwa terjadi penurunan serangan DDoS sebesar 55% pada Q2-2017 dibandingkan pada Q1, dan 81% penurunan attack peak
  • 23 November 2017 Cloudflare melaporkan terjadi penurunan junk traffic dalam beberapa bulan terakhir
  • November 2017 Akamai mengeluarkan laporan Q3 2017 State of the Internet terjadi peningkatan 8% serangan DDoS pada Q3 dibandingkan Q2,  namun terjadi penurunan jauh dibandingkan dengan Q3 2016
  • Muncul varian Mirai yang diberi nama Satori pada bulan November-Desember 2017. Menurut Janitor ancaman IoT akan semakin dahsyar. Tindakan seperti sinkholing tidak lagi cukup untuk menangani serangan seperti ini.
  • Muncul botnet baru ‘Reaper’ dan ‘IoTroop’

Penutup

Pada akhir email Janitor menyampaikan bahwa usaha yang dia lakukan dengan Brickerbot adalah menyingkirkan perangkat IoT yang vulnerable untuk mencegah terjadi serangan besar pada IoT. Akibatnya muncul banyak ancaman terhadap keselamatan dia, sehingga memutuskan menghentikan proyek ini.  Dia menyampaikan yang dia lakukan adalah untuk menyampaikan pesan tentang ancaman keamanan IoT.  Dia berharap semakin banyak orang yang menyadari permasalahan ini dan melakukan langkah pengamanan IoT

-Dr Cyborkian a.k.a. janit0r, conditioner of ‘terminally ill’ devices.

Liputan tentang email Janitor bisa dilihat pada link berikut:

https://www.bleepingcomputer.com/news/security/brickerbot-author-retires-claiming-to-have-bricked-over-10-million-iot-devices/

Isi lengkap emailnya

http://archive.is/PQAnU

Wawancara bleeping computer dengan Janitor

https://www.bleepingcomputer.com/news/security/brickerbot-author-claims-he-bricked-two-million-devices/

Tentang brickerbot

https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/brickerbot-malware-permanently-bricks-iot-devices

https://www.cyber.nj.gov/threat-profiles/botnet-variants/brickerbot

 

Silahkan tuliskan tanggapan, kritik maupun saran