Peneliti keamanan siber mengungkapkan perincian tentang apa yang mereka katakan sebagai “botnet terbesar” yang diamati di alam liar dalam enam tahun terakhir, menginfeksi lebih dari 1,6 juta perangkat yang sebagian besar berlokasi di China, dengan tujuan meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan memasukkan iklan ke situs web HTTP yang dikunjungi oleh pengguna yang tidak curiga.
Tim keamanan Netlab Qihoo 360 menjuluki botnet “Pink” berdasarkan sampel yang diperoleh pada 21 November 2019, karena banyaknya nama fungsi yang dimulai dengan “pink.”
Terutama menargetkan router serat berbasis MIPS, botnet memanfaatkan kombinasi layanan pihak ketiga seperti GitHub, jaringan peer-to-peer (P2P), dan server command-and-control (C2) pusat untuk botnya ke komunikasi pengontrol, belum lagi mengenkripsi saluran transmisi sepenuhnya untuk mencegah perangkat yang menjadi korban diambil alih.
“Pink berpacu dengan vendor untuk mempertahankan kendali atas perangkat yang terinfeksi, sementara vendor melakukan upaya berulang untuk memperbaiki masalah, master bot memperhatikan tindakan vendor juga secara real time, dan membuat beberapa pembaruan firmware pada router fiber secara bersamaan,” para peneliti kata dalam analisis yang diterbitkan minggu lalu menyusul tindakan terkoordinasi yang diambil oleh vendor yang tidak ditentukan dan Tim Teknis/Pusat Koordinasi Tanggap Darurat Jaringan Komputer China (CCERT/CC).
Menariknya, Pink juga ditemukan mengadopsi DNS-Over-HTTPS (DoH), sebuah protokol yang digunakan untuk melakukan resolusi Domain Name System jarak jauh melalui protokol HTTPS, untuk terhubung ke pengontrol yang ditentukan dalam file konfigurasi yang dikirimkan baik melalui GitHub atau Baidu Tieba, atau melalui nama domain bawaan yang dikodekan ke dalam beberapa sampel.
Lebih dari 96% dari node zombie bagian dari “jaringan bot skala super besar” berlokasi di Cina, perusahaan keamanan siber yang berbasis di Beijing NSFOCUS mencatat dalam sebuah laporan independen, dengan aktor ancaman membobol perangkat untuk menginstal program jahat oleh memanfaatkan kerentanan zero-day di perangkat gateway jaringan. Meskipun sebagian besar perangkat yang terinfeksi telah diperbaiki dan dipulihkan ke keadaan sebelumnya pada Juli 2020, botnet tersebut masih dikatakan aktif, terdiri dari sekitar 100.000 node.
Dengan hampir 100 serangan DDoS telah diluncurkan oleh botnet hingga saat ini, temuan ini merupakan indikasi lain tentang bagaimana botnet dapat menawarkan infrastruktur yang kuat bagi pelaku kejahatan untuk memasang berbagai intrusi. “Perangkat Internet of Things telah menjadi tujuan penting bagi organisasi produksi hitam dan bahkan organisasi ancaman persisten (APT) tingkat lanjut,” kata peneliti NSFOCUS. “Meskipun Pink adalah botnet terbesar yang pernah ditemukan, itu tidak akan pernah menjadi yang terakhir.”
sumber: FEEDPROXY
