_JIRAROJ_PRADITCHAROENKUL_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=1024&resize=1024,0&ssl=1)
Sekelompok penjahat dunia maya mengeksploitasi kerentanan di Perangkat Internet of Things (IoT). dan kemudian menghasilkan keuntungan besar dengan menjualnya di pasar proxy perumahan, di mana mereka dapat diubah menjadi botnet proxy oleh ancaman persisten (APT) yang disponsori negara dan pelaku jahat lainnya.
Geng tersebut, yang dilacak sebagai “Water Barghest,” telah menyusupi lebih dari 20.000 perangkat IoT, termasuk router kantor kecil dan rumah (SOHO) yang digunakan oleh bisnisdengan menggunakan skrip otomatis untuk mengidentifikasi dan menyusupi perangkat yang rentan, menurut penelitian baru dari Trend Mikro. Pelaku ancaman, yang telah beroperasi selama lebih dari lima tahun (sebagian besar tidak terdeteksi karena strategi otomatisasi yang canggih) menemukan perangkat IoT yang rentan dari database pemindaian Internet publik seperti Shodan, catat para peneliti.
Setelah Water Barghest menyusupi perangkat, ia menyebarkan malware berpemilik yang disebut Ngioweb untuk mendaftarkan perangkat tersebut sebagai proxy — yaitu, jaringan yang menempatkan perantara antara klien dan server. Water Barghest kemudian mencantumkan perangkat tersebut untuk dijual di pasar proxy perumahan untuk dibeli oleh pelaku ancaman lainnya.
Seluruh proses penjahat dunia maya untuk memperbudak target hanya membutuhkan waktu 10 menit, “menunjukkan operasi yang sangat efisien dan otomatis,” tulis peneliti Trend Micro Feike Hacquebord dan Fernando Mercês dalam postingannya.
Menjual Perangkat Proxy sebagai Model Bisnis Kejahatan Dunia Maya
Memang terdapat insentif yang signifikan bagi pelaku yang memiliki motivasi spionase dan finansial untuk membuat botnet proksi guna membantu menyembunyikan dari mana aktivitas jahat mereka berasal; milik Rusia cacing pasirmisalnya, baru-baru ini menggunakan botnet VPNFilter Dan Cyclops Berkedip dalam kegiatan melawan Ukraina yang sulit dipahami untuk sementara waktu sebelum akhirnya diganggu oleh FBI, menurut Trend Micro.
“Ini [botnets] dapat berfungsi sebagai lapisan anonimisasi, yang dapat memberikan alamat IP dengan geolokasi yang masuk akal untuk mengikis konten situs web, mengakses aset online yang dicuri atau disusupi, dan meluncurkan serangan siber,” tulis para peneliti.
Pelaku ancaman dapat menemukan perangkat IoT apa pun yang menerima koneksi masuk di Internet terbuka menggunakan layanan pemindaian publik, sehingga memudahkan mereka untuk mengkompromikan perangkat yang memiliki kerentanan yang diketahui, atau bahkan zero-day, untuk digunakan dalam aktivitas jahat di masa mendatang, tulis mereka. Hal ini memudahkan pelaku ancaman seperti Water Barghest untuk mengeksploitasinya demi keuntungan finansial dan penyalahgunaan lebih lanjut, tambah mereka.
Mengungkap Operasi Siber Botnet untuk Dijual yang Sulit Dicapai
Trend Micro menemukan operasi Water Barghest selama penyelidikan gangguan yang dilakukan Departemen Kehakiman botnet intelijen militer Rusia kelompok ancaman yang disponsori negara Rusia Beruang Mewah (alias APT28) digunakan untuk spionase dunia maya global.
Para peneliti memeriksa perangkat EdgeRouter yang telah digunakan oleh Sandworm, dan akhirnya menemukan malware dan botnet Ngioweb milik Water Barghest. Infrastruktur kelompok tersebut telah berdiri dan berjalan selama lebih dari lima tahun tetapi mampu menghindari deteksi oleh peneliti keamanan dan penegak hukum “karena keamanan operasional mereka yang cermat dan otomatisasi tingkat tinggi,” tulis para peneliti.
“Mereka diam-diam menghapus file log dari server mereka dan mempersulit analisis forensik,” tulis mereka. “Mereka menghilangkan kesalahan manusia dalam operasi mereka dengan mengotomatisasi hampir semua hal. Mereka juga menghilangkan ketertelusuran keuangan dengan menggunakan mata uang kripto untuk pembayaran anonim.”
Water Barghest mengotomatiskan setiap langkah dalam proses 10 menit, mulai dari awalnya menemukan perangkat IoT yang rentan hingga akhirnya menjualnya di pasar proxy perumahan. Kelompok ini pertama-tama memperoleh eksploitasi yang diketahui untuk menemukan kelemahan pada perangkat, kemudian menggunakan permintaan pencarian di salah satu database pemindaian Internet yang tersedia untuk umum untuk menemukan perangkat yang rentan dan alamat IP-nya. Kemudian menggunakan serangkaian alamat IP pusat data untuk mencoba eksploitasi terhadap perangkat IoT yang berpotensi rentan.
Ketika salah satunya berfungsi, perangkat IoT yang disusupi mengunduh skrip yang melakukan iterasi melalui sampel malware Ngioweb yang dikompilasi untuk arsitektur Linux yang berbeda. Ketika salah satu sampel berhasil dijalankan, Ngioweb akan berjalan di memori perangkat IoT korban, mendaftarkannya ke server perintah-dan-kontrol (C2), dan akhirnya mengirimkannya untuk dicantumkan di pasar Web Gelap.
Water Barghest memiliki sekitar 17 identitas di server pribadi virtual yang terus memindai router dan perangkat IoT untuk mencari kerentanan yang diketahui dan juga mengunggah malware Ngioweb ke perangkat IoT yang baru disusupi. Dengan cara ini, Water Barghest telah menjalankan bisnis yang menguntungkan “selama bertahun-tahun, dengan alamat IP pekerja berubah secara perlahan seiring waktu,” menurut analisis Trend Micro.
Melindungi Router SOHO: Batasi Paparan ke Internet Publik
Trend Micro memperkirakan bahwa pasar komersial untuk layanan proxy perumahan dan pasar proxy bawah tanah akan tumbuh di tahun-tahun mendatang karena tingginya permintaan baik dari APT maupun kelompok penjahat dunia maya keuangan. Pertumbuhan ini akan menimbulkan “tantangan bagi banyak perusahaan dan organisasi pemerintah di seluruh dunia” untuk melindungi diri dari lapisan anonimisasi yang disembunyikan oleh kelompok-kelompok ini, tulis para peneliti.
Sementara penegakan hukum telah dilakukan efektif dalam mengganggu botnet proxylebih baik langsung ke sumbernya untuk mengatasi masalah tersebut, dan hal itu dapat dilakukan dengan mengatasi keamanan perangkat IoT. Memang benar, perangkat ini memang demikian terkenal dapat diretasmenimbulkan masalah bagi organisasi yang harus mengelola jaringan mereka yang semakin besar.
“Ini penting [for organizations] …untuk melakukan mitigasi agar infrastruktur mereka tidak menjadi bagian dari masalah itu sendiri,” tulis para peneliti. Mereka menambahkan, mereka dapat melakukan hal ini dengan membatasi paparan perangkat-perangkat ini terhadap koneksi masuk dari Internet terbuka kapan pun tidak ada urusan bisnis. penting.