Ancaman VPNFilter dan Pengamanan Router
Konten dari Pengguna
30 Mei 2018 13:37 WIB
Tulisan dari Alfons Tanujaya tidak mewakili pandangan dari redaksi kumparan
PerbesarADVERTISEMENT
"Dua gajah berperang, pelanduk mati di tengah"
Insiden malware masif dalam 2 tahun terakhir banyak melibatkan dua pihak yang sedang berkonflik. Ukraina yang didukung oleh negara-negara Eropa Barat dengan Rusia, salah satu negara yang memiliki kemampuan perang cyber yang sangat tinggi. WannaCry, NotPetya, dan BadRabbit adalah contoh nyata serangan perang cyber ke Ukraina yang disinyalir dilakukan oleh Rusia.
ADVERTISEMENT
Di tahun 2018 ini, insiden malware yang masif kembali terjadi, dan terkait erat dengan konflik di negara Balkan tersebut. Tidak tanggung-tanggung, lebih dari 500.000 router dan perangkat penyimpanan data online NAS atau Network Attached Storage di 54 negara berhasil diinfeksi oleh malware yang diidentifikasi oleh Talos sebagai VPNFilter.
Kode VPNFilter memiliki banyak kesamaan dengan malware BlackEnergy yang sebelumnya juga melakukan penyerangan dalam skala masif terhadap Ukraina. Kuat dugaan, ada aktor yang sama di belakang aksi VPNFilter.
Kemampuan dan Ancaman VPNFilter
VPNFilter memiliki kemampuan menghancurkan dirinya sendiri, termasuk menghapus firmware pada perangkat keras yang diinfeksinya. Yang menjadi masalah, pada router yang di infeksi, rusaknya firmware akan mengakibatkan perangkat tersebut tidak berfungsi.
ADVERTISEMENT
Akibatnya, koneksi internet akan terputus dari seluruh jaringan yang menggunakan router tersebut. Celakanya, karena kebanyakan router yang diinfeksi adalah router SOHO atau Small Office Home Office, kebanyakan pemilik router tidak memiliki akses dan kemampuan untuk memperbaiki firmware yang dirusak.
Selain itu, VPNFilter memiliki kemampuan mencuri kredensial website, paket sniffing, dan melakukan monitoring protokol Modbus SCADA. Adapun beberapa merek perangkat keras yang terancam adalah Linksys, MikroTik, Netgear, TPLink, dan QNAP (NAS).
Eksploitasi yang diserang umumnya eksploitasi yang bersifat publik, dan salah satu teknik yang digunakan adalah mengakses router menggunakan password awal (default password) pabrik.
3 Tahap Infeksi VPNFIlter
1. Keunikan VPNFilter adalah kemampuannya untuk kembali lagi menginfeksi setelah piranti keras di-restart ulang. Hal ini cukup mengejutkan karena mayoritas malware yang mengincar IoT atau Internet of Things, seperti Mirai biasanya akan langsung hilang setelah perangkat yang diinfeksi melakukan reboot. Infeksi tahap pertama merupakan tahap menancapkan dirinya pada perangkat yang diinfeksi dan kemampuan untuk kembali menginfeksi sekalipun sudah di-reboot.
ADVERTISEMENT
2. Infeksi tahap kedua merupakan tahap intelijen di mana VPNFilter akan melakukan aksi mengumpulkan data, menjalankan perintah eksekusi, ekstraksi data, dan menajamen perangkat korban. Selain itu, pada infeksi tahap kedua VPNFilter memiliki kemampuan untuk menghapus bagian tertentu dari firmware dan hal tersebut akan menyebabkan perangkat keras tersebut rusak dan tidak bisa digunakan.
Secara teknis, VPNFilter mampu menyebabkan kiamat internet jika ia melakukan penghapusan atas firmware dari seluruh 500.000 perangkat keras di dunia yang berhasil diinfeksinya.
3. Jika infeksi berlanjut dan didiamkan, maka ia akan bergerak ke tahap 3. Kalau dalam dunia nyata batuk pilek berkepanjangan yang didiamkan bisa menyebabkan sinusitis, maka infeksi VPNFilter yang berkepanjangan dan mencapai tahap 3 akan menyebabkan instalasi modul tambahan.
ADVERTISEMENT
Adapun modul tambahan ini akan melakukan aksi seperti paket sniffer yang akan mengumpulkan data yang melalui perangkat router, pencurian kredensial website, monitor protokol Modbus SCADA. Selain itu plugin tambahan akan membuat VPNFilter memiliki kemampuan berkomunikasi melalui TOR (The Onion Router) yang akan membuat aktivitas forensik VPNFilter makin sulit.
PerbesarPengamanan
Mengamankan perangkat dari ancaman ini sangat sulit karena fungsi dan posisi perangkat router yang diincar berada di garda depan jaringan.
Perangkat ini mayoritas merupakan pintu gerbang penghubung ke internet dan terhubung secara langsung ke internet serta menjadi pengatur lalu lintas untuk hampir semua perangkat lain di dalam jaringan yang terhubung ke internet.
Tidak ada perangkat pelindung atau piranti lunak keamanan yang dapat dipasangkan pada perangkat keras ini.
ADVERTISEMENT
Industri router diproduksi secara massal dengan harga murah. Setiap tipe router memiliki masa dukungan yang terbatas, baik untuk piranti keras maupun piranti lunak (firmware)nya.
Celakanya, pembuat firmware yang dikontrak oleh pembuat router membuat firmware berdasarkan kontrak jangka pendek dan setelah firmware selesai dibuat, tidak ada lagi dukungan jangka panjang untuk pengembangan firmware router tersebut.
Selain itu, banyak kontraktor pembuat firmware memang berasal dari Rusia/ negara Eropa Timur sehingga tidak heran kalau mereka mengetahui dengan sangat baik seluk beluk dan kelemahan dari banyak router.
Rata-rata router memiliki masa garansi 1 tahun dan dukungan dari produsen paling lama 2-3 tahun untuk piranti lunaknya seperti update firmware.
Biasanya setelah 2 tahun dari masa produksi, tipe router sudah digantikan dengan tipe router lain, sehingga dukungan untuk satu tipe router tersebut sangat singkat karena sangat cepat sudah digantikan oleh tipe router yang lain dengan teknologi atau fitur yang lebih canggih.
ADVERTISEMENT
Di pihak konsumen, sebaliknya umur router banyak yang sangat awet dan tetap bisa berfungsi dengan baik, meskipun sudah dibeli bertahun-tahun yang lalu.
Selain itu, sekalipun update firmware tersedia, bagi pengguna awam, mendapatkan informasi firmware yang tepat secara juga sangat sulit. Kalaupun berhasil mendapatkan update firmware, melakukan update/ flash firmware juga cukup beresiko dan kesalahan kecil yang sedikit saja dalam proses update firmware bisa berakibat fatal dan membuat router tersebut rusak/ tidak berfungsi.
Solusi
ADVERTISEMENT
Salam,
Alfons Tanujaya
