Sandworm APT Berburu untuk Router ASUS dengan Cyclops Blink Botnet

Posted on by Syauqi Wiryahasana

Botnet modular yang dikenal sebagai Cyclops Blink, terkait dengan ancaman persisten tingkat lanjut (APT) yang sama di balik serangan penghapus NotPetya, memperluas penargetan perangkatnya untuk menyertakan router ASUS.

Selanjutnya, kemungkinan tujuan botnet jauh lebih jahat daripada rata-rata Mirai -kegemaran knockoff untuk serangan penolakan layanan (DDoS) terdistribusi.

Itulah kata dari peneliti Trend Micro, yang mencatat bahwa Cyclops Blink memberikan jaring yang luas dalam hal pemilik perangkat yang dipilihnya untuk diinfeksi, tanpa fokus khusus pada pemerintah atau entitas diplomatik bernilai tinggi. Meskipun itu tidak sesuai dengan perilaku APT yang khas, para peneliti mengatakan bahwa kemungkinan botnet akan digunakan sebagai infrastruktur yang terus-menerus untuk memasang serangan lebih lanjut pada target bernilai tinggi, dan dengan demikian, harus didistribusikan tanpa pandang bulu untuk efek maksimum.



“Seharusnya mencatat bahwa para korban ini tampaknya tidak menjadi target yang sangat berharga untuk spionase ekonomi, militer atau politik,” menurut analisis perusahaan. “Misalnya, beberapa server command-and-control (C2s) langsung di-host di perangkat WatchGuard yang digunakan oleh firma hukum di Eropa, perusahaan menengah yang memproduksi peralatan medis untuk dokter gigi di Eropa Selatan dan tukang ledeng di Amerika Serikat. .”

Cyclops Blink sendiri telah ada sejak 2019, awalnya berusaha menginfeksi perangkat WatchGuard Firebox menurut analisis Februari (PDF) yang dilakukan oleh National Cyber ​​Security Center (NCSC) Inggris. Sekarang, untuk melanjutkan tujuannya dari infeksi skala luas, router ASUS sekarang ada di menu, Trend Micro mencatat, dengan varian terbaru menggabungkan modul baru yang disesuaikan dengan perangkat vendor.

“Penelitian kami dilakukan pada RT-AC68U, tetapi router ASUS lainnya seperti RT-AC56U mungkin juga terpengaruh,” kata peneliti. “Penyelidikan kami menunjukkan bahwa ada lebih dari 200 korban Cyclops Blink di seluruh dunia. Negara umum dari perangkat WatchGuard yang terinfeksi dan router ASUS adalah Amerika Serikat, India, Italia, Kanada, dan daftar panjang negara lain, termasuk Rusia.”

A Sinister Purpose?

Cyclops Blink adalah hasil karya Sandworm APT (alias Voodoo) yang berbahasa Rusia. Bear atau TeleBots), menurut Trend Micro – grup yang sama yang telah dikaitkan dengan sejumlah serangan yang disponsori negara, serta botnet VPNFilter internet-of-things (IoT).

“Sandworm juga bertanggung jawab untuk…serangan tahun 2015 dan 2016 pada jaringan listrik Ukraina, serangan NotPetya 2017, kampanye presiden Prancis 2017, serangan Penghancur Olimpiade 2018 pada Olimpiade Musim Dingin dan operasi 2018 melawan Organisasi Pelarangan Senjata Kimia (OPCW) ,” catat para peneliti dalam analisis hari Kamis. Router

Internet telah menjadi target favorit untuk membangun botnet selama bertahun-tahun, berkat “frekuensi patching, kurangnya perangkat lunak keamanan dan terbatasnya jarak pandang para pemain bertahan” dalam hal perangkat ini, seperti yang dikatakan Trend Micro. Lebih sering daripada tidak, botnet tersebut digunakan untuk melakukan serangan DDoS; tetapi dalam kasus Cyclops Blink, motifnya kurang jelas.

“Tujuan botnet ini masih belum jelas: Apakah itu dimaksudkan untuk digunakan untuk serangan DDoS, spionase atau jaringan proxy masih harus dilihat,” kata peneliti. “Tetapi yang terbukti adalah bahwa Cyclops Blink adalah malware canggih yang berfokus pada kegigihan dan kemampuan untuk bertahan dari upaya domain sinkhole dan penghapusan infrastrukturnya.”

Bahkan, beberapa perangkat yang terinfeksi yang diamati oleh para peneliti telah disusupi. lebih dari dua setengah tahun, dengan beberapa ditetapkan sebagai server C2 yang stabil untuk bot lain.

Oleh karena itu, para peneliti kemungkinan besar berspekulasi, bahwa Cyclops Blink ditakdirkan untuk cakrawala yang lebih besar daripada penolakan layanan.

“Semakin banyak router yang dikompromikan, semakin banyak sumber pengumpulan data yang kuat — dan jalan untuk serangan lebih lanjut — tersedia bagi penyerang,” menurut analisis tersebut, yang meningkatkan momok “botnet abadi.”

“Setelah perangkat IoT terinfeksi malware, penyerang dapat memiliki akses internet tak terbatas untuk mengunduh dan menyebarkan lebih banyak tahap malware untuk pengintaian, spionase, proxy, atau apa pun yang ingin dilakukan penyerang,” para peneliti memperingatkan . “Sistem operasi yang mendasari sebagian besar perangkat IoT adalah Linux, yang juga digunakan oleh banyak alat sistem yang kuat. Hal ini dapat memungkinkan penyerang untuk menambahkan hal lain yang mungkin mereka perlukan untuk menyelesaikan serangan mereka.”

Mengingat rekam jejak Sandworm, adalah bijaksana untuk mengharapkan yang terburuk, perusahaan tersebut mencatat.

“Korban terkenal sebelumnya dan dampak besar serangan mereka terhadap ini organisasi sangat mengkhawatirkan — terlebih lagi untuk grup yang cepat belajar dari kesalahan masa lalu, kembali lebih kuat dari waktu ke waktu, dan untuk siapa dampak internasional tampaknya minimal,” kata para peneliti.

A Sedikit Spesifikasi Teknis pada Varian Botnet Baru

Coded di bahasa C, Cyclops Blink bergantung pada port TCP hard-coded untuk berkomunikasi dengan berbagai server perintah-dan-kontrol (C2s), menurut analisis. Untuk setiap port, itu membuat aturan di firewall kernel Netfilter Linux untuk memungkinkan komunikasi output ke port tersebut.

Setelah melakukan kontak, malware menginisialisasi perpustakaan OpenSSL, dan komponen intinya kemudian menjalankan operasi untuk serangkaian modul hard-coded.

“Komunikasi dengan modul dilakukan melalui pipa,” menurut Trend Micro. “Untuk setiap modul hard-code, malware membuat dua pipa sebelum menjalankannya dalam proses turunannya sendiri.”

Malware kemudian mendorong berbagai parameter ke modul, yang pada gilirannya merespons dengan data yang dienkripsi oleh komponen inti dengan fungsi OpenSSL sebelum mengirimnya ke server C2.

“Data dienkripsi menggunakan AES-256 dalam mode cipher block chaining (CBC) dengan kunci 256-bit yang dibuat secara acak dan vektor inisialisasi 128-bit (IV). Itu kemudian dienkripsi menggunakan kunci publik RSA-2560 (320-bit) hard-coded yang unik untuk setiap sampel, ”menurut analisis. “Server C2 harus memiliki kunci privat RSA yang sesuai untuk mendekripsi data.”

Researchers menambahkan, “Untuk mengirim data ke server C2, komponen inti melakukan handshake TLS dengan server C2 yang dipilih secara acak di port TCP acak, keduanya yang berasal dari daftar hard-coded.”

Awalnya, komponen inti mengirimkan daftar perintah yang didukung ke server C2 dan kemudian menunggu untuk menerima salah satu perintah kembali. Ini dapat ditujukan ke komponen inti itu sendiri atau ke salah satu modulnya, menurut writeup.

Jika sebuah perintah menargetkan komponen inti, perintah tersebut dapat berupa salah satu dari yang berikut:
< ul>
  • Hentikan programliu < ul>iMelewati interval pengiriman data dan mengirim data ke C2 server segeraliu < ul>iTambahkan server C2 baru ke daftar di memoriliu < ul>iSetel waktu untuk mengirim paket berikutnya ke server C2liu < ul>iAtur waktu untuk mengirim paket berikutnya ke server C2liu < ul>iTambah modul baru (file ELF harus diterima mengikuti perintah)liu < ul>iMuat ulang malwareliu < ul>iSetel lokal Parameter alamat IPliu < ul>iMenetapkan ID pekerja baruliu < ul>iMenetapkan nilai byte yang tidak diketahuiliu
      iKirim ulang konfigurasi ke semua modul yang berjalan

    Untuk perintah yang dimaksudkan untuk modul, varian terbaru yang dipelajari oleh Trend Micro sekarang menyertakan "Asus (0x38)", yang dimaksudkan untuk mengaktifkan modul baru yang dibuat untuk menginfeksi router ASUS.

    Menargetkan ASUS Routers

    Modul ASUS dibuat untuk mengakses dan mengganti router memori flash, sehingga memperbudaknya ke botnet, peneliti menjelaskan.

    “Modul ini dapat membaca dan menulis dari memori flash perangkat,” kata mereka. “Memori flash digunakan oleh perangkat ini untuk menyimpan sistem operasi, konfigurasi, dan semua file dari sistem file.”

    Cyclops Blink membaca 80 byte dari memori flash, menulisnya ke pipa utama, dan kemudian menunggu perintah dengan data yang diperlukan untuk mengganti konten.

    “Karena konten memori flash bersifat permanen, modul ini dapat digunakan untuk membangun kegigihan dan bertahan dari reset pabrik,” jelas peneliti.

    Modul kedua, yang secara langsung disebut “pengintaian sistem (0x08),” bertanggung jawab untuk mengumpulkan berbagai data dari perangkat yang terinfeksi dan mengirimkannya ke server C2.

    Secara khusus, ia memanen:
    < ul>
  • Perangkat versi Linuxliu < ul>iInformasi tentang konsumsi memori perangkatliu < ul>iInformasi penyimpanan SSDliu < ul>iIsi file berikut: < ul>
  • /etc/passwdliu < ul>i/etc/groupliu < ul>i /proc/mountsliu < ul>i/proc/partitions
    • l < ul>iu
      iInformasi tentang antarmuka jaringans

    Modul ketiga, “file dow nload (0x0f),” dapat mengunduh file dari internet menggunakan DNS melalui HTTPS (DoH).

    Trend Micro mencatat bahwa ASUS kemungkinan bukan satu-satunya modul baru yang akan muncul untuk botnet. Bagaimanapun, botnet Sandworm sebelumnya, VPNFilter, menargetkan berbagai vendor router, termasuk ASUS, D-Link, Huawei, Linksys, MikroTik, Netgear, QNAP, TP-Link, Ubiquiti, UPVEL, dan ZDE.

    “Kami memiliki bukti bahwa router lain juga terpengaruh, tetapi pada saat pelaporan, kami tidak dapat mengumpulkan sampel malware Cyclops Blink untuk router selain WatchGuard dan ASUS,” menurut analisis tersebut. “Berdasarkan pengamatan kami, kami sangat percaya bahwa ada lebih banyak perangkat yang ditargetkan dari vendor lain. Malware ini bersifat modular, dan kemungkinan setiap vendor memiliki modul dan arsitektur berbeda yang dipikirkan dengan baik oleh aktor Cyclops Blink. serangan dengan jatuh kembali pada kebersihan keamanan dasar, Trend Micro mencatat, termasuk penggunaan kata sandi yang kuat, menggunakan jaringan pribadi virtual (VPN), patch firmware biasa dan sebagainya. Kompromi yang paling berhasil adalah hasil dari penggunaan kata sandi default atau lemah atau eksploitasi kerentanan yang diketahui.

    Jika perangkat organisasi telah terinfeksi Cyclops Blink, para peneliti mengatakan bahwa tindakan terbaik adalah membuang router yang menjadi korban untuk yang baru, mengingat kemampuan persistensi malware yang luar biasa.

    “Yang terbaik adalah mendapatkan router baru,” mereka menjelaskan. “Melakukan reset pabrik mungkin mengosongkan konfigurasi organisasi, tetapi bukan sistem operasi dasar yang telah dimodifikasi oleh penyerang. Jika vendor tertentu memiliki pembaruan firmware yang dapat mengatasi serangan Cyclops Blink atau kelemahan lainnya dalam sistem, organisasi harus menerapkannya sesegera mungkin. Namun, dalam beberapa kasus, perangkat mungkin merupakan produk akhir masa pakainya dan tidak akan lagi menerima pembaruan dari vendornya. Dalam kasus seperti itu, rata-rata pengguna tidak akan memiliki kemampuan untuk memperbaiki infeksi Cyclops Blink.”

    Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang solid tentang cara mempertahankan aset Anda dengan eBuku GRATIS kami yang dapat diunduh, “Cloud Security: The Forecast for 2022”. Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keberhasilan keamanan dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.

     
    Tulis komentar
    Bagikan artikel ini:
  • Governmentliu < ul>iIoTliu < ul>iMalwareliu
      iKerentananli
    • Keamanan Web

    • TENTANG EMKA.WEB>ID

    EMKA.WEB.ID adalah blog seputar teknologi informasi, edukasi dan ke-NU-an yang hadir sejak tahun 2011. Kontak: kontak@emka.web.id.

    ©2024 emka.web.id Proudly powered by wpStatically