Koleksi dari jutaan komputer yang diretas yang dikenal sebagai Aisuru dan Kimwolf telah digunakan untuk meluncurkan beberapa komputer terbesar serangan penolakan layanan terdistribusi (DDoS). pernah dilihat. Kini lembaga penegak hukum Amerika Serikat telah menghapus keduanya dari internet, bersama dengan dua kelompok komputer lainnya yang dibajak—yang dikenal sebagai botnet—dalam satu penghapusan besar-besaran.
Pada hari Kamis, Departemen Kehakiman AS, bekerja sama dengan badan pemberantasan kejahatan dunia maya di dalam Departemen Pertahanan AS yang dikenal sebagai Badan Investigasi Kriminal Pertahanan, mengumumkan bahwa mereka telah membongkar empat botnet besar dalam satu operasi, menghapus server perintah dan kontrol yang digunakan untuk menyita pasukan perangkat yang disusupi yang dikelola peretas yang dikenal dengan nama JackSkid, Mossad, Aisuru, dan Kimwolf. Bersama-sama, operator keempat botnet tersebut telah mengumpulkan lebih dari 3 juta perangkat, kata Departemen Kehakiman, dan sering kali menjual akses ke perangkat tersebut kepada peretas kriminal lainnya serta menggunakannya untuk menargetkan korban dengan membanjirnya lalu lintas serangan yang membuat situs web dan layanan internet menjadi offline.
Aisuru dan Kimwolf, botnet yang berbeda namun terkait dengan Aisuru, bersama-sama terdiri dari lebih dari satu juta perangkat, menurut perusahaan pertahanan DDoS Cloudflaredengan Aisuru menginfeksi berbagai perangkat mulai dari DVR, peralatan jaringan, hingga webcam, dan cabang Kimwolf-nya menginfeksi perangkat Android termasuk smart TV dan set-top box. Cloudflare mengatakan kedua botnet tersebut, yang bekerja sama, melakukan serangan siber terhadap pelanggan Cloudflare pada November lalu yang mencapai lebih dari 30 terabit data per detik, hampir tiga kali lipat dari serangan terbesar sebelumnya.
Tidak ada penangkapan yang segera diumumkan bersamaan dengan penghapusan tersebut, namun pernyataan Departemen Kehakiman mencatat bahwa pemerintah AS bekerja sama dengan pihak berwenang Kanada dan Jerman, “yang menargetkan individu yang mengoperasikan botnet ini.”
“Amerika Serikat teguh dalam komitmen kami untuk menjaga infrastruktur internet penting dan memerangi penjahat dunia maya yang membahayakan keamanannya, di mana pun mereka tinggal,” tulis pengacara AS Michael J. Heyman dalam sebuah pernyataan.
Dari empat botnet yang berhasil dibasmi dalam operasi tersebut, Aisuru merupakan botnet yang paling terkenal berkat serangkaian serangan siber yang memecahkan rekor atau hampir memecahkan rekor yang dilakukannya pada musim gugur lalu. Botnet, yang penggunaannya disewakan seperti banyak layanan “booter” yang menawarkan kemampuan mengganggu secara brute force kepada siapa pun yang bersedia membayar, paling jelas menentang layanan game seperti Minecraft dan jurnalis keamanan siber independen Brian Krebs. Krebs, yang telah menyelidiki secara ekstensif botnet bawah tanah dan Aisuru pada khususnya, mendapat serangan berulang kali dari botnet tahun lalu.
Kemudian pada bulan November, Cloudflare menyerap serangan gabungan yang memecahkan rekor dari Aisuru dan Kimwolf yang hanya berlangsung selama 35 detik namun mencapai 31,4 terabit per detik, volume lalu lintas serangan mendekati tiga kali lipat ukuran yang pernah terjadi sebelumnya. (Perusahaan belum mengungkapkan pelanggannya yang mana yang terkena serangan itu.)
Di sebuah laporan mengenai keadaan ekosistem DDoS, Cloudflare menggambarkan lalu lintas serangan maksimum dari gabungan botnet Aisuru dan Kimwolf setara dengan “gabungan populasi di Inggris, Jerman, dan Spanyol yang semuanya secara bersamaan mengetik alamat situs web dan kemudian menekan ‘enter’ pada detik yang sama.” Botnet tersebut mampu, tulis analis Cloudflare, “meluncurkan serangan DDoS yang dapat melumpuhkan infrastruktur penting, merusak sebagian besar solusi perlindungan DDoS berbasis cloud, dan bahkan mengganggu konektivitas seluruh negara.”
Faktanya, keempat botnet yang diganggu oleh operasi AS adalah varian dari botnet tersebut Miraisebuah botnet internet-of-things yang pertama kali muncul pada tahun 2016, memecahkan rekor pada saat itu dalam hal besarnya serangan siber yang dilakukan, dan akhirnya digunakan dalam serangan terhadap penyedia layanan nama domain Dyn yang menghapus 175.000 situs web secara bersamaan di sebagian besar wilayah Amerika Serikat. Basis kode Mirai telah menjadi titik awal bagi satu dekade botnet internet-of-things lainnya.
Keempat botnet yang menjadi sasaran AS dalam penghapusan pada hari Kamis semuanya telah mengembangkan teknik baru yang memungkinkan mereka menginfeksi jenis perangkat yang bahkan Mirai tidak pernah berhasil mengaksesnya. Kimwolf khususnya memanfaatkan gadget murah yang terhubung ke internet yang bertindak sebagai “proxy perumahan” hal itu—seringkali tanpa sepengetahuan pemiliknya—memungkinkan peretas beralih ke jaringan rumah pengguna untuk menyusupi perangkat yang biasanya dilindungi di belakang router rumah, kata Chad Seaman, peneliti keamanan utama di perusahaan jaringan Akamai. “Ini benar-benar mengguncang fondasi dari apa yang kami anggap sebagai jaringan rumah yang aman,” kata Seaman.
Seaman mencatat bahwa peneliti keamanan siber dan penegak hukum telah terlibat dalam permainan kucing-kucingan selama berbulan-bulan dengan operator botnet. Kadang-kadang, katanya, operator menggunakan trik inovatif seperti memindahkan sistem nama domain mereka ke blockchain Ethereum untuk mencegah pembajakan server perintah dan kontrol mereka.
Terlepas dari hasil penghapusan yang dilakukan pada hari Kamis, Seaman mengatakan bahwa ia telah melihat cukup banyak generasi operator DDoS—mulai dari Mirai sendiri—untuk mengetahui bahwa meskipun keempat botnet ini telah dibongkar secara permanen, peretas lain pasti akan membangun kembali kumpulan mesin yang diretas dalam jumlah besar untuk menggantikan mereka.
“Permainan kucing-dan-tikus terus berlanjut. Anda menangkap satu tikus, dan 10 tikus lainnya berlarian ke bawah lemari es,” katanya. “Kucing akan memprioritaskan tikus gemuk. Tapi ini adalah permainan yang panjang.”
