Serangan siber berskala besar telah mengompromikan lebih dari 9.000 router Asus di seluruh dunia, dengan para peneliti keamanan memperingatkan bahwa kampanye tersebut tampaknya merupakan karya pelaku ancaman yang sangat canggih. Serangan ini merupakan eskalasi yang mengkhawatirkan dalam kejahatan siber berbasis router, menggunakan teknik-teknik canggih untuk membangun backdoor persisten yang dapat bertahan dari pembaruan firmware dan restart sistem.
Skala dan Dampak Serangan
- Lebih dari 9.000 router Asus dikonfirmasi telah dikompromikan
- Jumlahnya terus bertambah menurut data pemindai internet Censys
- Hanya 30 upaya akses yang diamati selama 3 bulan, menunjukkan kampanye yang lambat dan disengaja
- Serangan ditemukan oleh GreyNoise pada 18 Maret 2024
Metode Serangan Canggih Menargetkan Kerentanan Router
Para penjahat siber menggunakan pendekatan multi-cabang untuk mendapatkan akses tidak sah ke router Asus . Mereka menggabungkan serangan brute-force login tradisional dengan teknik bypass autentikasi yang canggih, mengeksploitasi kerentanan yang sudah diketahui maupun yang belum diungkapkan sebelumnya. Eksploit utama memanfaatkan CVE-2023-39780, sebuah kelemahan injeksi perintah yang memungkinkan penyerang mengeksekusi perintah sistem sembarang setelah mereka mendapatkan akses awal ke perangkat.
Yang membedakan kampanye ini adalah pendekatan metodis para penyerang dalam mempertahankan kontrol jangka panjang. Alih-alih langsung menginstal malware yang jelas terlihat, mereka fokus pada membangun backdoor persisten menggunakan fungsionalitas SSH bawaan router. Pendekatan tersembunyi ini membuat deteksi menjadi jauh lebih menantang bagi pengguna rata-rata yang mungkin tidak menyadari perilaku jaringan yang tidak biasa.
Detail Teknis Serangan
- Kerentanan utama yang dieksploitasi: CVE-2023-39780 (celah injeksi perintah)
- Kerentanan tambahan yang tidak diungkapkan juga dieksploitasi
- Akses SSH dibuat pada port 53282
- Backdoor disimpan dalam memori non-volatile (NVRAM)
- Logging dinonaktifkan untuk menghindari deteksi
- Kunci publik SSH yang terpotong: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Backdoor Persisten Bertahan dari Langkah-Langkah Keamanan Standar
Aspek paling mengkhawatirkan dari serangan ini adalah persistensi backdoor yang diinstal. Para penyerang menyimpan mekanisme akses mereka di memori non-volatile (NVRAM) router, memastikan bahwa upaya remediasi standar seperti restart atau pembaruan firmware tidak akan menghapus akses tidak sah mereka. Mereka juga menonaktifkan fungsi logging untuk menutupi jejak mereka, sehingga sulit bagi pengguna atau profesional keamanan untuk mendeteksi kompromi tersebut.
Perusahaan keamanan GreyNoise , yang menemukan kampanye ini pada Maret 2024, mengamati bahwa para penyerang membangun akses SSH melalui port 53282 menggunakan kunci publik terpotong yang spesifik. Jumlah percobaan akses yang relatif rendah yang disaksikan selama tiga bulan menunjukkan operasi berjalan dengan sengaja dan diam-diam, konsisten dengan tujuan strategis jangka panjang daripada keuntungan finansial langsung.
Keterlibatan Nation-State Dicurigai
Kecanggihan dan sifat metodis serangan telah membuat para peneliti keamanan mencurigai keterlibatan pelaku advanced persistent threat (APT), yang berpotensi terkait dengan operasi nation-state. GreyNoise menggambarkan musuh sebagai pihak yang memiliki sumber daya baik dan sangat mampu, mencatat bahwa taktik tersebut sejalan dengan yang biasanya digunakan oleh jaringan operational relay box (ORB) yang digunakan oleh kelompok hacker yang disponsori pemerintah.
Meskipun tidak ada atribusi spesifik yang dibuat, kampanye semacam itu secara historis telah dikaitkan dengan operasi siber dari negara-negara termasuk China , Rusia , Korea Utara , dan Iran . Fokus pada membangun jaringan terdistribusi perangkat yang dikompromikan menunjukkan para penyerang sedang meletakkan dasar untuk operasi skala besar di masa depan daripada mencari keuntungan moneter langsung.
Tindakan Segera Diperlukan untuk Pemilik Router
Pemilik router Asus harus segera memeriksa perangkat mereka untuk tanda-tanda kompromi dengan memeriksa pengaturan SSH di panel administrasi router mereka. Perangkat yang dikompromikan akan menunjukkan SSH diaktifkan pada port 53282 dengan kunci publik terpotong spesifik yang dimulai dengan ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAo41nBoVFfj4HlVMGV+YPsxMDrMlbdDZ...
Untuk router yang belum dikompromikan, memperbarui ke firmware terbaru akan memberikan perlindungan terhadap kerentanan CVE-2023-39780. Namun, perangkat yang sudah dikompromikan memerlukan remediasi yang lebih ekstensif. Pengguna harus secara manual menghapus atau menonaktifkan entri SSH berbahaya dan memblokir empat alamat IP command-and-control yang teridentifikasi: 101.99.91.151, 101.99.94.173, 79.141.163.179, dan 111.90.146.237.
Langkah-langkah Perbaikan untuk Pemilik Router Asus
- Periksa pengaturan SSH di panel administrasi router untuk akses yang tidak sah
- Perbarui firmware segera jika perangkat belum terkompromi
- Hapus/nonaktifkan entri SSH berbahaya jika sudah terkompromi
- Blokir keempat alamat IP berbahaya yang telah diidentifikasi
- Lakukan reset pabrik dan konfigurasi ulang manual untuk perangkat yang terkompromi
- Gunakan kata sandi administratif yang kuat dan unik
- Nonaktifkan manajemen jarak jauh jika tidak diperlukan
Factory Reset Direkomendasikan untuk Perangkat yang Dikompromikan
Untuk router yang telah dikompromikan, Asus merekomendasikan melakukan factory reset lengkap diikuti dengan rekonfigurasi manual untuk memastikan tidak ada jejak backdoor yang tersisa. Langkah yang lebih drastis ini diperlukan karena sifat persisten backdoor berarti dapat bertahan dari pembaruan firmware standar.
Insiden ini berfungsi sebagai pengingat keras tentang pentingnya keamanan router dalam melindungi jaringan rumah dan bisnis. Pembaruan firmware reguler, kata sandi administratif yang kuat, dan audit keamanan berkala perangkat jaringan adalah praktik penting untuk mempertahankan keamanan siber di dunia yang semakin terhubung.