keamanan siber serangan siber DDoS botnet ISP Brasil CVE-2023-1389

Perusahaan Perlindungan DDoS Diduga Terlibat dalam Serangan Siber

Sebuah perusahaan teknologi Brasil yang berspesialisasi dalam perlindungan jaringan dari serangan Distributed Denial-of-Service (DDoS) diduga terlibat dalam serangan siber masif terhadap penyedia layanan internet (ISP) lokal. Menurut temuan KrebsOnSecurity, perusahaan tersebut memungkinkan terbentuknya botnet yang digunakan untuk serangan berkelanjutan.

CEO perusahaan tersebut mengklaim aktivitas jahat tersebut terjadi akibat pelanggaran keamanan dan kemungkinan merupakan tindakan pesaing untuk merusak reputasi perusahaannya. Namun, bukti yang ditemukan menunjukkan keterlibatan langsung dalam pengelolaan infrastruktur yang digunakan untuk serangan.

Bukti Bocor Mengungkap Aktivitas Mencurigakan

Selama beberapa tahun terakhir, para ahli keamanan melacak serangkaian serangan DDoS besar yang berasal dari Brasil dan hanya menargetkan ISP lokal. Baru-baru ini, seorang sumber tepercaya yang meminta kerahasiaan membagikan arsip mencurigakan yang ditemukan dalam direktori terbuka daring.

Arsip tersebut berisi beberapa program berbahasa Portugis yang ditulis dalam Python, serta kunci autentikasi SSH pribadi milik CEO Huge Networks, sebuah ISP Brasil yang fokus pada perlindungan DDoS bagi operator jaringan lokal. Didirikan pada 2014 di Miami, AS, Huge Networks beroperasi di Brasil dan awalnya melayani perlindungan server game sebelum berkembang menjadi penyedia mitigasi DDoS untuk ISP.

Botnet Dibangun dengan Memanfaatkan Perangkat Rentan

Arsip yang bocor menunjukkan bahwa aktor ancaman berbasis di Brasil memiliki akses root ke infrastruktur Huge Networks. Mereka membangun botnet dengan memindai internet untuk menemukan router dan server DNS yang tidak terkelola, lalu memanfaatkannya dalam serangan.

Serangan DNS reflection menjadi salah satu metode yang digunakan. Server DNS yang tidak dikonfigurasi dengan benar menerima permintaan palsu dari perangkat yang disusupi. Ketika server merespons, data dikirimkan ke alamat target, sehingga memperbesar dampak serangan. Dengan memanfaatkan ekstensi protokol DNS, serangan amplifikasi dapat meningkatkan ukuran respons hingga 60-70 kali lipat dari permintaan awal.

Router TP-Link AX21 Jadi Sasaran Utama

File yang bocor juga menunjukkan perintah baris yang digunakan untuk membangun botnet dengan menargetkan router TP-Link Archer AX21. Perangkat ini rentan terhadap kerentanan CVE-2023-1389, yang memungkinkan akses tidak sah.

Serangan amplifikasi DNS, seperti yang diilustrasikan di bawah, menunjukkan bagaimana botnet memanfaatkan ribuan perangkat yang disusupi untuk melancarkan serangan masif dalam waktu bersamaan.

Serangan amplifikasi DNS terjadi ketika penyerang mengirimkan permintaan palsu ke server DNS yang tidak terlindungi. Respons yang dihasilkan dikirimkan ke alamat korban, sehingga memperbesar skala serangan secara eksponensial.

Implikasi dan Langkah Selanjutnya

Meskipun Huge Networks tidak tercantum dalam laporan penyalahgunaan publik maupun terkait layanan DDoS berbayar, temuan ini menunjukkan adanya pelanggaran serius dalam tata kelola keamanan. Perusahaan kini dihadapkan pada tuntutan untuk menjelaskan bagaimana akses tidak sah terjadi dan langkah apa yang diambil untuk mencegah insiden serupa di masa depan.

Para ahli keamanan mendesak perusahaan dan penyedia layanan internet untuk segera melakukan audit menyeluruh terhadap infrastruktur mereka guna mencegah eksploitasi lebih lanjut.

Sumber: Krebs on Security
Invincible VS: Game Bertema Superhero yang Sayangnya Kurang Berarti
← Sebelumnya

Invincible VS: Game Bertema Superhero yang Sayangnya Kurang Berarti

 Trump Kembali Desak Pemberhentian Jimmy Kimmel: 'Segera Dilakukan!'
Selanjutnya →

Trump Kembali Desak Pemberhentian Jimmy Kimmel: 'Segera Dilakukan!'