Deskripsi Malware VPN Filter

VPNFilter malware adalah multi-stage malware yang memiliki kemampuan untuk mengumpulkan data/intelijen dan operasi serangan siber yang bersifat destruktif yang menginfeksi perangkat jaringan SOHO (Small Office and Home Office) dan NAS (Network Attached Storage). Perangkat jaringan tersebut rentan terhadap infeksi malware ini karena pada umumnya tidak dilengkapi dengan sistem keamanan tambahan (seperti anti-malware atau perangkat IPS (Intrusion Prevention System)). Sekitar 500.000 router di 54 negara terdampak oleh malware ini, termasuk Indonesia.

https://blog.talosintelligence.com/2018/05/VPNFilter.html

Gambar – Cara Kerja Malware VPN Filter

(sumber : https://blog.talosintelligence.com/2018/05/VPNFilter.html)

Stage 1

  • Malware menyerang firmware berbasis Busybox dan Linux
  • Menggunakan mekanisme multiple redundant Command and Control (C2) untuk menemukan alamat IP dari server Stage 2.
  • Membuat persistence malware pada perangkat yang terinfeksi dengan memodifikasi NVRAM dan menambahkan malware ke dalam Linux job scheduler

Stage 2

  • Malware mengkonfigurasi “working environment” dengan membuat direktori module (/var/run/vpnfilterm) dan working directory (/var/run/vpnfilterw).
  • Malware akan terhubung dengan Command and Control (C2) server dan kemudian mengeksekusi perintah yang diperoleh dari C2.
  • Pada tahap ini, malware memiliki kapabilitas untuk melakukan self destruct yang dapat menghapus bagian kritikal dari firmware perangkat sehingga membuat perangkat tersebut tidak dapat beroperasi.
  • Beberapa perintah yang dapat dilakukan antara lain kill : akan menyebabkan perangkat reboot, exec: mengeksekusi shell command atau plugin, tor: menyetel konfigurasi TOR, copy: menyalin file dari client ke server, dan lainnya.

Stage 3

Pada tahap ini malware akan menyediakan beberapa plugin, untuk malware pada stage 2 bekerja. Beberapa modul plugin yang patut diwaspadai adalah packet sniffer yang digunakan untuk mengumpulkan traffic yang melewati perangkat, termasuk mencuri informasi kredensial maupun memonitoring protokol Modbus yang umum digunakan pada sistem SCADA. Kemudian yang kedua adalah modul komunikasi yang memungkinkan malware pada stage 2 untuk berkomunikasi melalui jaringan TOR.

Timeline VPN Filter

  • 8 Mei 2018 – Cisco Talos Intelligence mengobservasi aktifitas infeksi malware VPNFilter
  • 17 Mei 2018 – Cisco Talos Intelligence mendeteksi adanya korban VPNFilter yang berlokasi di Ukraina
  • 23 Mei 2018 – Talos Intelligence merilis artikel “New VPNFilter malware targets at least 500K networking devices worldwide”
  • 23 Mei 2018 – Symantec Threat Intelligence memuat laporan “VPNFilter: New Router Malware with Destructive”
  • 25 Mei 2018 – FBI (Federal Bureau of Investigation) merilis Pengumuman mengenai “Foreign Cyber Actors Target Home And Office Routers And Networked Devices Worldwide”

Daftar Perangkat yang Terdampak VPNFilter

Dampak Ancaman VPNFilter

  • Perangkat yang terinfeksi dapat digunakan sebagai media serangan atau “hop points” oleh pihak pembuat malware (aktor penyerang) untuk terkoneksi ke target korban, guna mengaburkan sumber asal serangan.
  • Malware ini juga memiliki kemampuan untuk melakukan pengumpulan, pencurian informasi dan memonitor arus informasi jaringan yang dilewatkan melalui router yang terinfeksi.
  • VPNFilter memiliki kemampuan “destruktif” yang dapat menyebabkan router skala “Small Office and Home Office” (SOHO) tidak dapat beroperasi.

Rekomendasi Langkah Pencegahan

Disarankan bagi pihak yang menggunakan perangkat yang terdampak oleh malware ini, untuk melakukan langkah-langkah berikut :

  • Backup Data dan Konfigurasi Perangkat : Melakukan backup seluruh data dan konfigurasi pada perangkat sebelum melakukan proses reboot, factory reset maupun pemutakhiran firmware pada perangkat.
  • Factory Reset dan Reboot Perangkat : Melakukan factory reset dan reboot perangkat router yang digunakan untuk mengganggu proses kerja malware.
  • Non-Aktifkan Fitur Remote Management : Jika tidak diperlukan non-aktifkan fitur konfigurasi melalui remote (remote management settings) pada perangkat.
  • Gunakan Password yang Kompleks : Gunakan password dengan kompleksitas yang baik (seperti panjang password lebih dari 8 karakter, kemudian karakter password terdiri dari kombinasi angka, huruf besar, huruf kecil, simbol dan karakter lainnya) untuk melakukan akses ke perangkat, serta non-aktifkan / hapus / ubah password untuk seluruh akun default.
  • Update Firmware Perangkat : Lakukan pemutakhiran terhadap firmware perangkat yang terdampak ke versi terbaru jika tersedia.

Berikut merupakan artikel terkait langkah-langkah pencegahan yang dikeluarkan secara resmi oleh setiap penyedia perangkat yang terdampak

Domain C2 dan IP yang diketahui

Berikut domain dan IP yang diketahui berasosiasi dengan malware VPNFilter :

Asosiasi pada tahap 1

photobucket[.]com/user/nikkireed11/library

photobucket[.]com/user/kmila302/library

photobucket[.]com/user/lisabraun87/library

photobucket[.]com/user/eva_green1/library

photobucket[.]com/user/monicabelci4/library

photobucket[.]com/user/katyperry45/library

photobucket[.]com/user/saragray1/library

photobucket[.]com/user/millerfred/library

photobucket[.]com/user/jeniferaniston1/library

photobucket[.]com/user/amandaseyfried1/library

photobucket[.]com/user/suwe8/library

photobucket[.]com/user/bob7301/library

toknowall[.]com

Asosiasi pada tahap 2

91.121.109[.]209

217.12.202[.]40

94.242.222[.]68

82.118.242[.]124

46.151.209[.]33

217.79.179[.]14

91.214.203[.]144

95.211.198[.]231

195.154.180[.]60

5.149.250[.]54

91.200.13[.]76

94.185.80[.]82

62.210.180[.]229

zuh3vcyskd4gipkm[.]onion/bin32/update.php

 

File Hashes yang diketahui

Tahap 1 Malware
  • 50ac4fcd3fbc8abcaa766449841b3a0a684b3e217fc40935f1ac22c34c58a9ec
  • 0e0094d9bd396a6594da8e21911a3982cd737b445f591581560d766755097d92
Tahap 2 Malware
  • 9683b04123d7e9fe4c8c26c69b09c2233f7e1440f828837422ce330040782d17
  • d6097e942dd0fdc1fb28ec1814780e6ecc169ec6d24f9954e71954eedbc4c70e
  • 4b03288e9e44d214426a02327223b5e516b1ea29ce72fa25a2fcef9aa65c4b0b
  • 9eb6c779dbad1b717caa462d8e040852759436ed79cc2172692339bc62432387
  • 37e29b0ea7a9b97597385a12f525e13c3a7d02ba4161a6946f2a7d978cc045b4
  • 776cb9a7a9f5afbaffdd4dbd052c6420030b2c7c3058c1455e0a79df0e6f7a1d
  • 8a20dc9538d639623878a3d3d18d88da8b635ea52e5e2d0c2cce4a8c5a703db1
  • 0649fda8888d701eb2f91e6e0a05a2e2be714f564497c44a3813082ef8ff250b
  • Tahap 3 Plugin
  • f8286e29faa67ec765ae0244862f6b7914fcdde10423f96595cb84ad5cc6b344
  • afd281639e26a717aead65b1886f98d6d6c258736016023b4e59de30b7348719

 

Self-Signed Certificate Fingerprints

d113ce61ab1e4bfcb32fb3c53bd3cdeee81108d02d3886f6e2286e0b6a006747

c52b3901a26df1680acbfb9e6184b321f0b22dd6c4bb107e5e071553d375c851

f372ebe8277b78d50c5600d0e2af3fe29b1e04b5435a7149f04edd165743c16d

be4715b029cbd3f8e2f37bc525005b2cb9cad977117a26fac94339a721e3f2a5

27af4b890db1a611d0054d5d4a7d9a36c9f52dffeb67a053be9ea03a495a9302

110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8

fb47ba27dceea486aab7a0f8ec5674332ca1f6af962a1724df89d658d470348f

b25336c2dd388459dec37fa8d0467cf2ac3c81a272176128338a2c1d7c083c78

cd75d3a70e3218688bdd23a0f618add964603736f7c899265b1d8386b9902526

110da84f31e7868ad741bcb0d9f7771a0bb39c44785055e6da0ecc393598adc8

909cf80d3ef4c52abc95d286df8d218462739889b6be4762a1d2fac1adb2ec2b

044bfa11ea91b5559f7502c3a504b19ee3c555e95907a98508825b4aa56294e4

c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412

8f1d0cd5dd6585c3d5d478e18a85e7109c8a88489c46987621e01d21fab5095d

d5dec646c957305d91303a1d7931b30e7fb2f38d54a1102e14fd7a4b9f6e0806

c0f8bde03df3dec6e43b327378777ebc35d9ea8cfe39628f79f20b1c40c1b412

Referensi

Biro Hukum dan Humas

Badan Siber dan Sandi Negara

Cyber Security Innovation Day 2019

Jakarta, (10/01). Kepala Badan Siber dan Sandi Negara Dr. Djoko Setiadi, M. Si menjadi pembicara pada acara Cyber Security Innovation Day Tahun 2019. Acara tersebut diselenggarakan oleh CISCO SYSTEM INDONESIA bertempat di Hotel Shangri La Jakarta. Pada kesempatan...

BSSN Menggelar Diskusi Publik Strategi Keamanan Siber Indonesia

Jakarta, 19/12. Badan Siber dan Sandi Negara (BSSN) menyelenggarakan Diskusi Publik Strategi Keamanan Siber Indonesia (SKSI) bertempat di Hotel Aston Simatupang Jakarta Selatan.Acara yang yang diselenggarakan oleh Direktorat Identifikasi Kerentanan dan Penilaian...

BSSN Serahkan Hasil Penilaian Indeks Keamanan Informasi

Jakarta (18/12) – Badan Siber dan Sandi Negara (BSSN) menyelenggarakan penyerahan hasil penilaian indeks Keamanan Informasi (KAMI) di Hotel Aston Simatupang Jakarta Selatan, yang diselenggarakan oleh Direktur Identifikasi Kerentanan dan Penilaian Risiko Ekonomi...

Kepala BSSN pada acara Tamu Khusus TVOne

Wawancara ekslusif Kepala Badan Siber dan Sandi Negara dengan TVOne pada acara Tamu Khusus yang ditayangkan pada hari Minggu, 7 Januari 2018. Berita Terbaru Panduan

Share This