PARBOABOA - Cyclops Blink, malware bikinan hacker yang terkait pemerintah Rusia kembali beraksi. Kali ini sejumlah seri router Asus yang jadi incarannya.
Seperti kita tahu, perang antara Rusia dan Ukraina masih terus berlangsung dan sudah terjadi hampir selama satu bulan.
Namun perlu diketahui bahwa perang antar dua negara tersebut tidak hanya dilakukan secara nyata, namun juga melalui platform digital.
Bahkan menurut beberapa sumber, hacker Rusia yang disokong oleh negara juga terus bertambah dan meluas setiap harinya.
Melanjuti hal tersebut, ada laporan terbaru yang menyatakan bahwa ada sejumlah hacker Rusia yang diduga mengincar router Asus menggunakan Cyclops Blink.
Dilansir dari Trend Micro, Senin (21/3), Cyclops Blink merupakan sebuah program software berbahaya yang berbentuk botnet.
Botnet itu sendiri adalah sekumpulan program yang saling terhubung melalui internet dan berkomunikasi dengan program-program sejenis untuk melakukan tugas tertentu.
Cyclops Blink adalah malware yang sudah beredar sejak 2019, dan malware ini terkait dengan sindikat hacker elit Sandworm, yang diduga punya kaitan dengan pemerintah Rusia.
Menurut National Cyber Security Center (NCSC) Inggris, malware ini awalnya mengincar perangkat WatchGuard Firebox, dan juga terkait dengan ransomware NotPetya, yang menyebabkan kerugian miliaran dolar sejak menyebar ke banyak negara pada Juni 2017, juga malware BlackEnergy yang ada di balik serangan ke pembangkit listrik Ukraina pada 2015 lalu.
Peneliti keamanan di Trend Micro menemukan kalau kini Cyclops Blink memperluas serangannya, tanpa target spesifik seperti pemerintahan negara tertentu, demikian dikutip dari Techspot, Senin (21/3/2022).
Dan keberadaan Cyclops Blink kali ini pun dikaitkan dengan kelompok hacker CISA Sandworm atau Voodoo Bear.
Apa tujuan hacker Rusia incar router Asus pakai Cyclops Blink?
Kembali melansir dari Trend Micro, dikatakan kalau botnet Cyclops Blink dikatakan bukan program yang dapat menyerang organisasi kritis atau pihak-pihak yang memiliki nilai nyata untuk melakukan spionase politik.
Oleh karena itu, beberapa pakar keamanan menduga kalau penggunaan Cyclops Blink dalam upaya meretas router Asus ini ditujukkan untuk maksud lain.
Dikatakan kalau hacker Rusia yang ada dibalik peristiwa ini memiliki kemungkinan untuk membangun sebuah infrastruktur serangan baru.
"Percaya bahwa ada kemungkinan bahwa tujuan utama bot Cyclops Blink adalah untuk membangun infrastruktur untuk serangan lebih lanjut pada target bernilai tinggi," ungkap pakar, dikutip dari Trend Micro.
Nah target terbarunya ini adalah sejumlah router Asus yang masih menggunakan jaringan WiFi AC. Cyclops Blink menggunakan port TCP tertentu untuk berkomunikasi dengan server C&C-nya.
Untuk setiap port yang dipakai, malware-nya membuat aturan baru di firewall kernel Netfilter Linux, yang diatur sedemikian rupa agar membolehkan akses ke server tersebut.
Sehingga saat komunikasi sudah terbentuk, malware akan membuat sebuah library OpenSSL, dan komponen utamanya akan mengeksekusi modul tertentu.
Malware-nya kemudian akan mengaktifkan parameter tertentu ke modul ini, yang akan mengembalikan data yang sudah dienkripsi menggunakan OpenSSL, dan kemudian mengirimkannya ke C&C server milik mereka.
Menurut Trend Micro, malware ini adalah penerus dari malware VPNFilter yang beredar pada 2018. Malware tersebut juga didesain untuk menginfeksi router dan perangkat jaringan tertentu untuk mencuri data dan menjadikannya botnet untuk keperluan lain ke depannya.
Modul Cyclops Blink yang menyerang router Asus ini dibuat untuk mengakses dan mengganti data di flash memory router.
Dari flash memory tersebut ada kapasitas sekitar 80 byte yang diakses dan ditulis ulang, yang kemudian ditambah lagi dengan modul kedua untuk mencuri data dari perangkat terinfeksi dan dikirimkan ke server C&C.
Router Asus yang terdampak
Berikut adalah seri router Asus yang terdampak, lengkap dengan seri firmwarenya:
- GT-AC5300
- GT-AC2900
- RT-AC5300
- RT-AC88U
- RT-AC3100
- RT-AC86U
- RT-AC68U
- AC68R
- AC68W
- AC68P
- RT-AC66U_B1
- RT-AC3200
- RT-AC2900
- RT-AC1900P
- RT-AC1900P
- RT-AC87U (EOL)
- RT-AC66U (EOL)
- RT-AC56U (EOL)
Sampai saat ini, Asus belum merilis pembaruan firmware untuk router tersebut. Asus menyatakan tengah mencari keberadaan Cyclops Blink dan mengambil langkah perbaikan.
Oleh karena itu, para pengguna router Asus dihimbau untuk melakukan peningkatan keamanan.
Sebab desas-desus menyebut kalau router yang sudah terinfeksi Cyclops Blink dari hacker Rusia itu nantinya tidak akan bisa diperbaiki, bahkan saat router sudah dikembalikan ke setelan pabrik.