youngster.id - Kementerian Komunikasi dan Informatika mengimbau agar pengelola jaringan di lingkungan lembaga dan instansi pemerintah, swasta dan rumahan serta penyedia jasa layanan internet untuk mewaspadai potensi serangan malicious software (malware) bernama VPNFilter. Malware itu mampu melakukan pengumpulan, pencurian informasi dan memonitor arus informasi jaringan melalui router yang terinfeksi.
Peringatan dini telah disampaikan oleh Badan Siber dan Sandi Negara (BSSN) pada Senin (28/05/2018) sore. Peringatan itu didasarkan hasil pengamatan selama beberapa bulan, Lembaga Riset Keamanan Cisco, Talos yang melakukan penelitian threat intelligence dan menemukan “VPNFilter” sebagai ancaman yang disponsori negara (state-sponsored or state-affiliated actor’s).
Secara khusus, kode malware itu beririsan dengan versi malware BlackEnergy, yang menjadi penyebab atas beberapa serangan berskala besar dengan menargetkan perangkat di Ukraina. Hasil pengamatan menunjukkan VPNFilter merupakan malware yang berpotensi merusak, aktif menginfeksi host Ukraina pada tingkat yang mengkhawatirkan, memanfaatkan infrastruktur command and control (C2) yang didedikasikan untuk negara tersebut.
Perilaku malware ini pada peralatan jaringan sangat memprihatinkan, karena komponen dari malware VPNFilter memungkinkan untuk pencurian data kredensial situs web dan pemantauan protokol Modbus SCADA. Terakhir, malware memiliki kemampuan merusak yang dapat membuat perangkat yang terinfeksi tidak dapat digunakan, yang dapat dipicu pada mesin korban individu atau secara massal, dan memiliki potensi untuk memutus akses internet di seluruh dunia.
Sesuai laporan Talos, terdapat sekitar 500.000 router di 54 negara dilaporkan terdampak oleh malware ini, termasuk Indonesia. Beberapa perangkat yang dikenal yang terdampak oleh VPNFilter adalah Linksys, MikroTik, NETGEAR dan TP-Link (SOHO), serta di QNAP network-attached storage (NAS). Tidak ada vendor lain, termasuk Cisco, yang telah diamati terinfeksi oleh VPNFilter.
Saat ini penyebaran malware masih dalam tahap 1 atau persistent loader, dari 3 tahap infeksi malware yaitu tahap 2 dan 3 (non persistent). Meskipun belum ada laporan kerugian di Indonesia, karena baru tahap loading ke perangkat, jika tidak diantisipasi sedini mungkin akan dapat membuat perangkat yang sudah terinveksi malware Tahap 1, bisa diekploitasi, misalnya pencurian data kredensial, mematikan network, dan sejenisnya.
Kementerian Komunikasi dan Informatika mengimbau agar setiap pengelola jaringan waspada karena malware itu sangat berbahaya. Jika sudah tertanam bisa dieksploitasi untuk berbagai kepentingan.
Langkah antisipasi yang harus dilakukan adalah melakukan update (patch) perangkat jaringan secepatmya dan melakukan reset perangkat untuk menghapus malware yang mungkin sudah menginfeksi perangkat.
Selain itu, bisa melakukan rekomendasi sebagai berikut untuk antisipasi:
1. Pengguna router SOHO dan/atau perangkat NAS meresetnya ke default pabrik dan melakukan boot ulang untuk menghapus malware yang berpotensi merusak pada tahap 2 non-persisten, dan tahap 3.
2. Penyedia layanan Internet yang menyediakan router SOHO ke pengguna mereka me-reboot router atas nama pelanggan mereka.
3. Jika ada perangkat yang diketahui atau diduga terkena ancaman ini, sangat penting bagi Anda untuk bekerja sama dengan pabrikan untuk memastikan bahwa perangkat Anda sudah diperbarui dengan versi patch terbaru. Jika tidak, Anda harus segera menerapkan patch yang diperbarui.
4. ISP bekerja secara agresif dengan pelanggan mereka untuk memastikan perangkat mereka ditambal ke versi firmware atau perangkat lunak terbaru.
5. Memasang atau meng-update rule pada Sistem Intrusion Detection System. Misalnya untuk IDS Snort bisa menggunakan: https://www.snort.org/rule_docs/1-45564, https://blog.snort.org/2018/05/snort-subscriber-rule-set-update-for_24.html?m=1
STEVY WIDIA
Discussion about this post