Gerhana Labu

 (blog.lumen.com)
1 poin oleh GN⁺ 2024-06-01 | 1 komentar | Bagikan ke WhatsApp

Ringkasan laporan dari Black Lotus Labs

Gambaran insiden

  • Terjadi insiden: Selama 72 jam dari 25 hingga 27 Oktober 2023, lebih dari 600 ribu router small office/home office (SOHO) yang berada di bawah satu penyedia layanan internet (ISP) menjadi offline.
  • Dampak: Perangkat yang terinfeksi menjadi tidak dapat berfungsi secara permanen dan memerlukan penggantian perangkat keras.
  • Penyebab utama: Trojan akses jarak jauh (RAT) bernama "Chalubo" diidentifikasi sebagai penyebab utama.

Trojan Chalubo

  • Pertama kali ditemukan: Pertama kali ditemukan pada 2018.
  • Karakteristik:
    • Menghapus semua file dari disk dan berjalan di memori.
    • Menggunakan nama proses acak yang sudah ada di perangkat.
    • Mengenkripsi seluruh komunikasi dengan server command and control (C2).
  • Fungsi: Dapat menjalankan serangan DDoS dan mengeksekusi skrip Lua.

Proses infeksi

  • Akses awal: Kemungkinan besar memanfaatkan kredensial yang lemah atau antarmuka manajemen yang terekspos.
  • Tahap infeksi:
    • Tahap pertama: Mengakses server payload awal melalui skrip bash "get_scrpc".
    • Tahap kedua: Mengunduh dan menjalankan skrip serta payload tambahan.
    • File utama: /usr/bin/usb2rci, /tmp/.adiisu, /tmp/crrs dan lain-lain.

Status infeksi global

  • Aktivitas: Dari November 2023 hingga awal 2024, malware Chalubo sangat aktif.
  • Alamat IP terinfeksi: Per 30 Oktober 2023, lebih dari 330 ribu alamat IP unik terinfeksi.

Kesimpulan

  • Keunikan: Serangan ini terbatas pada ASN tertentu, tetapi memengaruhi lebih dari 600 ribu perangkat.
  • Tujuan serangan: Membuat perangkat tidak dapat berfungsi melalui pembaruan firmware yang disengaja.
  • Rekomendasi keamanan:
    • Organisasi pengelola router SOHO: Jangan gunakan kata sandi bawaan, dan perkuat keamanan antarmuka manajemen.
    • Pengguna umum: Lakukan reboot router secara berkala dan pasang pembaruan keamanan.

Opini GN⁺

  • Hal yang menarik: Insiden ini sangat tidak lazim karena terbatas pada satu ISP dan memerlukan penggantian perangkat keras dalam skala besar.
  • Kebutuhan penguatan keamanan: Penguatan keamanan untuk router SOHO dan perangkat IoT sangat mendesak.
  • Pelajaran teknis: Malware berkembang dengan teknik penghindaran deteksi, seperti hanya berjalan di memori dan mengenkripsi komunikasi.
  • Solusi alternatif: Perlu meninjau solusi atau proyek keamanan lain yang menyediakan fungsi serupa.
  • Hal yang perlu dipertimbangkan saat adopsi: Saat mengadopsi teknologi keamanan baru, perlu mempertimbangkan kompatibilitas dengan sistem yang ada dan kemudahan pengelolaan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-06-01
Komentar Hacker News
  • Masalah firmware: Bermimpi memblokir jalur tulis pada chip flash dan menjadwalkan reboot harian untuk mengatasi masalah yang disebabkan oleh problem firmware.
  • Pengalaman penerima satelit: Seperti yang pernah dilakukan pada penerima satelit 20 tahun lalu, semua perangkat yang terhubung ke internet harus dianggap rentan terhadap tindakan elektronik.
  • Pemantauan pembaruan: Diperlukan sistem yang memantau pembaruan perangkat dan memberi peringatan saat pembaruan terjadi.
  • Kurangnya isi artikel: Artikel ini kurang memiliki detail menarik. Penasaran apakah router tersebut secara bawaan memiliki port dan layanan yang terbuka.
  • Perbandingan firmware: Ada pertanyaan apakah versi firmware yang berbeda bisa dibandingkan.
  • Penggunaan OpenWrt: Tampaknya kebanyakan orang menggunakan OpenWrt dan SDK vendor.
  • Kecurigaan pembaruan berbahaya: Ada kecurigaan bahwa vendor mengirimkan pembaruan yang berbahaya atau rusak.
  • Tidak adanya pernyataan resmi dari ISP: Ada pertanyaan mengapa tidak ada pernyataan resmi dari ISP. Jika ini serangan, investigasi diperlukan.
  • Cara penanganan di AS: Ada pertanyaan bagaimana masalah seperti ini ditangani di Amerika Serikat.
  • Kemungkinan infeksi bot: Ada kemungkinan mesin terinfeksi bot dan vendor mendorong pembaruan yang merusak segalanya.
  • Perlu pemberitahuan insiden keamanan: Sebagai pelanggan, ingin mengetahui adanya insiden keamanan.
  • Permintaan tautan image firmware: Meminta tautan ke image firmware perangkat tersebut atau detail tambahan.
  • Log trafik: Ada pertanyaan bagaimana Black Lotus Labs mengetahui komunikasi antar-IP melalui log trafik.
  • Keraguan soal keamanan Tor: Ada pertanyaan apakah keamanan Tor benar-benar aman.
  • Kotak x86 dan OpenWrt: Lebih memilih membeli kotak x86 kecil dengan dual NIC untuk menjalankan OpenWrt. Open source, banyak dukungan, komunitas bagus, dan dukungan Wireguard.
  • Usulan poin karma HN: Usulan agar HN menambahkan poin karma untuk pengirim yang memperbaiki judul clickbait.
  • Rekomendasi berguna dari pemerintah Kanada: Tautan ke rekomendasi berguna dari pemerintah Kanada.
  • Backdoor dan bug firmware: Masalah yang terjadi jika backdoor dipasang pada 600 ribu router dan bug firmware diperkenalkan.
  • Peluncuran pembaruan bertahap: Ada pertanyaan apakah pembaruan tidak bisa dirilis secara bertahap.
  • Arti judul artikel: Ada pertanyaan tentang makna judul artikel.
  • Judul yang membingungkan: Bagi yang bingung dengan judulnya, ini tentang penghancuran 600 ribu router individual.
  • Artikel terkait: Tautan ke artikel terkait dari Ars Technica.