Bukan hanya komputer produksi bersistem operasi Linux, Windows ataupun Mac OS, namun kini router-pun menjadi target infeksi malware pencuri data.
blog.dhocnet.work - Assalamualaikum teman-teman, kembali lagi di kanal DHOCNET Blog bersama saya.
Kali ini datang lagi sebuah kabar tentang keamanan data, namun tidak menargetkan komputer produksi seperti Linux workstation, Windows Desktop maupun MAC OS. Tetapi targetnya adalah sebuah router kelas bisnis yang menangani lalu-lintas data perusahaan.
Wah, semakin gawat saja!
Malware ini diberi nama Hiatus dan dikabarkan telah menyerang Amerika bagian Utara, Selatan dan Eropa.
Malware ini (Hiatus) dikonfigurasi untuk membuat protokol VPN (Virtual Private Network) setelah berhasil menginfeksi router target untuk menyembunyikan lalu-lintas data antara router yang diinfeksi dan pemilik malware sehingga sulit untuk diketahui kemana data dikirim oleh malware.
Sedangkan jenis data yang yang dapat diambil adalah semua jenis data dan protokol seperti email (POP, SMTP, IMAP), HTTP dan sebagainya karena malware Hiatus menggunakan perintah yang tcpdump yang dimodifikasi untuk menyaring lalu-lintas yang keluar masuk melewati router. Bahkan malware Hiatus mampu mengkonfigurasi router agar seluruh komputer yang terhubung melewati router yang terinfeksi sehingga dapat menyaring data lebih banyak.
Menurut laporan Lumen's Black Lotus Labs, malware Hiatus setidaknya sudah beroperasi sejak Juli tahun lalu (2022) dan sudah menginfeksi setidaknya 100 router, terutama router DrayTek Vigor yang akan habis masa supportnya seperti seri 2960 dan 3900.
DHOCNETADS
Untuk informasi bagaimana malware Hiatus ini sampai menginfeksi router, masih belum diketahui. Namun jika dilihat dari bagaimana cara mengkonfigurasi sebuah router, maka kemungkinan router-router yang teringfeksi ini menggunakan password dan username bawaan pabrik atau tidak mengganti password dan username default sehingga memudahkan penyerang menebak password dan username router.
Kemudian untuk jalan masuk ke jaringan internal, kemungkinan penyerang telah menyisipkan malware Hiatus ini ke banyak berkas dan webaite onlain sehingga saat berkas di download kemudian dibuka, malware akan otomatis ikut dijalankan kemudian mulai melancarkan serangan. Sebagai informasi, jika hampir semua router tidak mengizinkan login untuk konfigurasi melalui jaringan internet, dan hanya mengizinkan login melalui jaringan lokal saja.
Setelah malware Hiatus berhasil masuk dan mengendalikan router target, malware tersebut mengunduh program installer yang disebut HiatusRAT yang memiliki kemampuan konfigurasi lebih kompleks untuk mengendalikan router dan menyembunyikan diri, dari admin yang mungkin sedang login.
Karena itulah, teman-teman, pentingnya untuk mengganti informasi default bawaan pabrik, dengan informasi baru dan menggantinya (username dan password) secara rutin untuk menghindari penyusupan dan pencurian data terutama pada peralatan produksi perusahaan atau organisasi. Serta lakukan update jika tersedia update dari produsen perangkat.
DHOCNETADS
Jika teman-teman penasaran seperti apa bentuk atau jenis router yang saat ini telah terinfeksi malware Hiatus, ini dia teman-teman. DrayTek Vigor 2960 dan 3900.
Baiklah teman-teman, semoga informasi ini bermanfaat. Walaupun malware Hiatus belum masuk ke Asia, khususnya Indonesia, namun tetap waspada dan berhati-hati merupakan langkah pertama untuk menjaga keamanan informasi dan data.
Sampai jumpa pada edisi selanjutnya dan wassalamualaikum.
Sumber: arstechnica.com
