Botnet FICORA dan CAPSAICIN: Ancaman Lama yang Kembali Aktif

Dunia keamanan siber kembali dihebohkan dengan munculnya ancaman dari botnet FICORA dan CAPSAICIN yang memanfaatkan kerentanan lama pada router D-Link. Botnet ini tidak hanya menyasar perangkat secara acak tetapi juga menargetkan berbagai negara secara global. Peneliti keamanan siber memperingatkan bahwa meskipun celah keamanan ini telah ditemukan dan diperbaiki hampir satu dekade lalu, serangan ini tetap aktif hingga hari ini.

Apa Itu FICORA dan CAPSAICIN?

Botnet FICORA merupakan varian dari Mirai, sementara CAPSAICIN adalah varian dari Kaiten, juga dikenal dengan nama Tsunami. Kedua botnet ini menggunakan celah keamanan pada protokol administrasi jaringan HNAP (Home Network Administration Protocol) yang terdapat pada perangkat router D-Link.

“Botnet ini menyebar melalui kerentanan D-Link yang telah terdokumentasi, memungkinkan penyerang untuk menjalankan perintah berbahaya dari jarak jauh menggunakan aksi GetDeviceSettings pada antarmuka HNAP,” jelas Vincent Li, peneliti dari Fortinet FortiGuard Labs, dalam analisisnya.

Kerentanan pada HNAP ini pertama kali terungkap hampir satu dekade lalu dan terkait dengan berbagai nomor CVE, seperti CVE-2015-2051, CVE-2019-10891, CVE-2022-37056, dan CVE-2024-33112. Meski celah-celah ini telah diperbaiki, banyak perangkat yang belum diperbarui oleh penggunanya sehingga tetap rentan terhadap serangan.

Target Serangan Secara Global

Data telemetri dari Fortinet menunjukkan bahwa botnet FICORA telah menargetkan berbagai negara di seluruh dunia. Sementara itu, botnet CAPSAICIN lebih banyak menyasar kawasan Asia Timur, terutama Jepang dan Taiwan. Aktivitas CAPSAICIN terpantau sangat aktif dalam kurun waktu singkat, yakni pada 21 hingga 22 Oktober 2024.

Cara Kerja Botnet FICORA

Serangan botnet FICORA diawali dengan pengunduhan skrip shell bernama “multi” dari server jarak jauh yang beralamat di “103.149.87[.]69.” Skrip ini kemudian mengunduh muatan utama untuk berbagai arsitektur Linux dengan menggunakan perintah seperti wget, ftpget, curl, dan tftp.

Selain itu, botnet ini juga memiliki fungsi serangan brute force dengan daftar nama pengguna dan kata sandi bawaan yang digunakan untuk membobol perangkat yang rentan. Setelah masuk ke dalam sistem, FICORA mampu melakukan serangan Distributed Denial-of-Service (DDoS) menggunakan protokol UDP, TCP, dan DNS.

Cara Kerja Botnet CAPSAICIN

CAPSAICIN menggunakan pendekatan serupa dengan alamat IP berbeda, yakni “87.10.220[.]221.” Skrip bernama “bins.sh” digunakan untuk mengambil malware bagi berbagai arsitektur Linux guna memastikan malware ini dapat beroperasi di berbagai perangkat.

Satu hal yang membuat CAPSAICIN lebih canggih adalah kemampuannya untuk membunuh proses botnet lain pada perangkat korban, memastikan hanya CAPSAICIN yang berjalan. Setelah itu, malware ini menghubungkan perangkat korban ke server command-and-control (C2) di “192.110.247[.]46.” Informasi sistem operasi perangkat dan julukan (nickname) yang diberikan oleh malware dikirim ke server tersebut.

CAPSAICIN kemudian menunggu instruksi lebih lanjut dari penyerang, termasuk perintah seperti mengunduh file, mengubah server C2, menjalankan serangan flooding, hingga menghapus riwayat perintah pada perangkat korban.

Ancaman yang Membahayakan

Botnet ini tidak hanya mencuri data, tetapi juga mampu melakukan berbagai tindakan merusak, seperti:

1. Serangan DDoS: Menggunakan protokol UDP, TCP, dan DNS untuk membuat layanan tidak dapat diakses.
2. Eksekusi Perintah Jarak Jauh: Mengambil alih kontrol penuh atas perangkat korban.
3. Penghapusan Jejak: Menghapus riwayat perintah untuk menghindari deteksi.
4. Penggantian Server: Memungkinkan penyerang memindahkan kontrol ke server baru kapan saja.

Mengapa Serangan Ini Tetap Berlanjut?

Meskipun celah keamanan yang dimanfaatkan oleh FICORA dan CAPSAICIN telah diperbaiki, serangan ini terus berlangsung karena banyak perangkat yang masih menggunakan firmware lama. Perangkat-perangkat ini tidak mendapatkan pembaruan keamanan, baik karena kelalaian pengguna maupun karena dukungan perangkat lunak yang telah dihentikan oleh pabrikan.

“Meski kelemahan ini telah diketahui dan diperbaiki hampir satu dekade lalu, serangan ini tetap aktif secara global,” ujar Li. “Sangat penting bagi setiap perusahaan dan pengguna untuk secara rutin memperbarui kernel perangkat mereka dan melakukan pemantauan yang menyeluruh.”

Langkah Pencegahan

Untuk melindungi perangkat dari serangan semacam ini, ada beberapa langkah yang dapat dilakukan:

1. Perbarui Firmware: Pastikan perangkat router Anda selalu menggunakan firmware versi terbaru.
2. Nonaktifkan Fitur yang Tidak Digunakan: Jika tidak menggunakan protokol HNAP, pertimbangkan untuk menonaktifkannya.
3. Gunakan Kata Sandi yang Kuat: Hindari penggunaan kata sandi bawaan dari pabrikan.
4. Monitor Aktivitas Jaringan: Pantau aktivitas jaringan Anda secara rutin untuk mendeteksi aktivitas mencurigakan.
5. Gunakan Firewall: Tambahkan lapisan perlindungan dengan menggunakan firewall yang andal.

Ancaman dari botnet FICORA dan CAPSAICIN menjadi pengingat bahwa kerentanan lama pada perangkat jaringan dapat menjadi pintu masuk bagi serangan siber, bahkan setelah bertahun-tahun ditemukan. Penting bagi pengguna, baik individu maupun perusahaan, untuk mengambil langkah proaktif dalam melindungi perangkat mereka dengan pembaruan keamanan dan pemantauan yang berkelanjutan. Jangan biarkan kerentanan lama menjadi celah baru bagi penyerang.