Update Cisco: Daftar Baru Router Rentan Malware "VPNFilter"
9 June 2018
Add Comment
Dua pekan lalu pun para pejabat di sektor swasta dan publik memperingatkan bahwa peretas yang bekerja untuk pemerintah Rusia menginfeksi lebih dari 500.000 router tingkat konsumen di 54 negara dengan malware yang dapat digunakan untuk berbagai tujuan jahat.
Sekarang, para peneliti dari tim Talos Cisco Security kembali mengatakan analisis tambahan menunjukkan bahwa malware lebih kuat daripada yang diperkirakan dan berjalan pada basis model yang lebih luas, banyak dari produsen yang sebelumnya tidak terpengaruh. Dan peretas spionase menginfeksi 500.000 router konsumen di seluruh dunia dengan malware itu.
Kemampuan baru yang paling menonjol yang ditemukan di VPNFilter, seperti malware yang dikenal, datang dalam modul yang baru ditemukan yang melakukan serangan man-in-the-middle aktif pada lalu lintas Web yang masuk. Penyerang dapat menggunakan modul ssler ini untuk memasukkan muatan berbahaya ke dalam lalu lintas saat melewati router yang terinfeksi. Payload dapat disesuaikan untuk mengeksploitasi perangkat tertentu yang terhubung ke jaringan yang terinfeksi. Diucapkan "esler," modul juga dapat digunakan untuk diam-diam memodifikasi konten yang disampaikan oleh situs web.
Selain secara diam-diam memanipulasi lalu lintas yang dikirimkan ke titik akhir di dalam jaringan yang terinfeksi, ssler juga dirancang untuk mencuri data sensitif yang dikirimkan antara titik akhir yang terhubung dan Internet luar. Ini secara aktif memeriksa URL Web untuk tanda-tanda mereka mengirimkan kata sandi dan data sensitif lainnya sehingga mereka dapat disalin dan dikirim ke server yang terus dikontrol oleh penyerang bahkan sekarang, dua minggu setelah botnet diungkapkan kepada publik.
Untuk mem-bypass enkripsi TLS yang dirancang untuk mencegah serangan semacam itu, ssler secara aktif mencoba untuk menurunkan koneksi HTTPS ke lalu lintas HTTP plaintext. Kemudian mengubah tajuk permintaan untuk memberi sinyal bahwa titik akhir tidak dapat menggunakan koneksi terenkripsi. Ssler membuat akomodasi khusus untuk lalu lintas ke Google, Facebook, Twitter, dan Youtube, mungkin karena situs-situs ini menyediakan fitur keamanan tambahan. Google, misalnya, selama bertahun-tahun secara otomatis mengalihkan lalu lintas HTTP ke server HTTPS. Modul yang baru ditemukan juga menghapus kompresi data yang disediakan oleh aplikasi gzip karena lalu lintas plaintext lebih mudah untuk dimodifikasi.
Analisis baru, yang diharapkan Cisco detail dalam laporan yang akan diterbitkan selanjutnya, menunjukkan bahwa VPNFilter menimbulkan ancaman yang lebih kuat dan menargetkan lebih banyak perangkat daripada yang dilaporkan dua pekan lalu. Sebelumnya, Cisco percaya bahwa tujuan utama VPNFilter adalah menggunakan router rumah dan kantor kecil, switch, dan perangkat penyimpanan yang tersambung ke jaringan sebagai platform untuk meluncurkan serangan yang tidak jelas pada target utama. Penemuan ssler menunjukkan pemilik router sendiri adalah target utama dari VPNFilter.
"Awalnya ketika kami melihat ini kami pikir itu terutama dibuat untuk kemampuan ofensif seperti serangan routing di Internet," Craig Williams, seorang pemimpin teknologi senior dan manajer penjangkauan global di Talos, mengatakan. “Tetapi tampaknya [penyerang] telah sepenuhnya berevolusi melewati itu, dan sekarang tidak hanya memungkinkan mereka melakukan itu, tetapi mereka dapat memanipulasi semua yang terjadi melalui perangkat yang disusupi. Mereka dapat mengubah saldo rekening bank Anda sehingga terlihat normal sementara pada saat yang sama mereka menyedot uang dan kunci PGP potensial dan hal-hal seperti itu. Mereka dapat memanipulasi semua yang masuk dan keluar dari perangkat. ”
Meskipun HTTP Strict Transport Security dan tindakan serupa yang dirancang untuk mencegah koneksi Web yang tidak terenkripsi dapat membantu mencegah downgrade HTTP agar tidak berhasil, Williams mengatakan bahwa penawaran tersebut tidak tersedia secara luas di Ukraina, tempat sejumlah besar perangkat yang terinfeksi VPN berada. Terlebih lagi, banyak situs di AS dan Eropa Barat terus menyediakan HTTP sebagai pengganti perangkat lama yang tidak sepenuhnya mendukung HTTPS. Talos mengatakan VPNFilter juga menargetkan perangkat yang jauh lebih besar dari yang diperkirakan sebelumnya, termasuk yang dibuat oleh Asus, D-Link, Huawei, Ubiquiti, UPVEL, dan ZTE. Malware ini juga berfungsi pada model-model baru dari pabrikan yang sebelumnya dikenal sebagai sasaran, termasuk Linksys, MikroTik, Netgear, dan TP-Link. Williams memperkirakan bahwa model tambahan menempatkan 200.000 router tambahan di seluruh dunia yang berisiko terinfeksi.
0 Response to "Update Cisco: Daftar Baru Router Rentan Malware "VPNFilter""
Post a Comment