Awal bulan lalu saya dapat email dari seorang teman dari Cisco Talos. Dia mengirimkan informasi bahwa banyak perangkat di Indonesia yang terinfeksi malware VPNfilter. Malware VPNFilter adalah malware yang banyak menyerang router. Diperkirakan ada sekitar 500.000 router di 54 negara yang terinfeksi malware ini. Cisco Talos melaporkan malware ini menyeranganberbagai router dari Linksys, MikroTik, NETGEAR dan TP-Link, ASUS, D-Link, Huawei, Ubiquiti, UPVEL, ZTE, SOHO, dan perangkat NAS QNAP. Malware ini mampu mencuri informasi login dan password yang dimasukan ke website serta mampu membaca komunikasi protokol SCADA Modbus.
Tahapan Serangan
Menurut Cisco Talos, malware ini memiliki beberapa modul dan menyerang dalam beberapa tahap serangan.
Tahapan pertama malware melakukan restart perangkat. Pada tahap ini malware melakukan komunikasi dengan beberapa IP server C&C (Command & Control). Tahap ini menggunakan worm dan menjalankan beberapa perintah ke daftar crontab, sehingga dapat berjalan dalam interval waktu tertentu
Tahap kedua malware menjalankan fungsi seperti mengumpulkan data dari korban, menjalankan perintah dari server C&C, pencurian data, dll. Namun ada ditemukan juga beberapa versi malware yang memiliki kemampuan self destruct (menghentikan operasi)
Tahap ketiga malware mengunduh beberapa modul tambahan dari server C&C. Diantaranya ada modul packet sniffer, modul ini berfungsi mengumpulkan trafik data yang melewati perangkat, termasuk mencuri login dan password pada website, melakukan monitoring pada protokol SCADA Modbus. Kemudian ada modul komunikasi yang dapat membuat malware berkomunikasi melalui Tor.
Modul berikutnya dapat melakukan serangan man-in-the-middle attack pada trafik web, modul ini dinakan ssler.
Modul lainnya adalah malware memiliki fitur kill comand. Perintah ini dapat menghilangkan jejak malware VPNFilter dari perangkat serta membuat perangkat korban tidak dapat digunakan. Modul ini dinamakan dstr.
Penanganan
Perangkat yang terinfeksi malware ini menurut Cisco Talos seringkali melakukan scan TCP ke port23, 80, 2000 dan 8080. Para peneliti menemukan serangan terbanyak malware ini ada di Ukraina. Peneliti juga menemukan beberapa kemiripan malware ini dengan malware BlackEnergy.
Berikut ini beberapa saran bagaimana menangani malware ini:
- Pengguna Router melakukan factory reset ke perangkatnya dan melakukan reboot terhadap perangkat..
- Lakukan update pada perangkat
- Ganti password perangkat
Malware menginfeksi perangkat menggunakan login dan password default perangkat, serta menggunakan beberapa exploit yang memanfaatkan celah keamanan pada perangkat. Sampai saat ini belum ditemukan penggunaan exploit baru.
Informasi lebih lanjut tentang malware ini:
https://blog.talosintelligence.com/2018/05/VPNFilter.html
https://www.symantec.com/blogs/threat-intelligence/vpnfilter-iot-malware
https://blogs.cisco.com/security/talos/vpnfilter-update
https://blog.talosintelligence.com/2018/06/vpnfilter-update.html