Gorilla Botnet Serang 100 Negara dengan 300,000+ Serangan DDoS

Peneliti keamanan siber telah menemukan sebuah keluarga malware botnet baru yang dinamakan Gorilla (juga dikenal sebagai GorillaBot), yang merupakan varian dari kode sumber botnet Mirai yang bocor. Temuan ini dilaporkan oleh firma keamanan siber NSFOCUS, yang berhasil mengidentifikasi aktivitas botnet tersebut pada bulan September 2024.

Botnet Gorilla telah mengeluarkan lebih dari 300.000 perintah serangan antara tanggal 4 hingga 27 September 2024, dengan tingkat kepadatan serangan yang sangat tinggi. Setiap harinya, botnet ini mengirimkan rata-rata 20.000 perintah serangan yang dirancang untuk melancarkan serangan distributed denial-of-service (DDoS). Dalam periode tersebut, serangan tersebut menargetkan lebih dari 100 negara, termasuk institusi seperti universitas, situs web pemerintah, perusahaan telekomunikasi, bank, sektor game, dan perjudian. Negara-negara yang paling banyak diserang meliputi China, Amerika Serikat, Kanada, dan Jerman.

Menurut NSFOCUS, botnet Gorilla mengandalkan berbagai jenis serangan DDoS, termasuk UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood, dan ACK flood. Teknik ini memanfaatkan protokol UDP yang bersifat connectionless untuk melakukan IP spoofing, sehingga memungkinkan botnet ini menghasilkan lalu lintas dalam jumlah besar.

Botnet ini juga memiliki kemampuan untuk mendukung berbagai arsitektur CPU seperti ARM, MIPS, x86_64, dan x86. Selain itu, Gorilla dapat berkomunikasi dengan lima server command-and-control (C2) yang telah ditentukan, yang digunakan untuk menerima perintah DDoS dan menjalankannya.

Salah satu fitur menarik dari botnet Gorilla adalah kemampuannya untuk mengeksploitasi celah keamanan pada Apache Hadoop YARN RPC, yang memungkinkan eksekusi kode jarak jauh. Menurut laporan dari Alibaba Cloud dan Trend Micro, celah ini telah dieksploitasi secara liar sejak 2021.

Botnet Gorilla juga dirancang untuk bertahan lama di sistem yang terinfeksi. Salah satu teknik yang digunakan adalah membuat file layanan bernama custom.service di direktori "/etc/systemd/system/", yang dikonfigurasi agar berjalan secara otomatis setiap kali sistem dinyalakan. Selain itu, layanan ini bertanggung jawab untuk mengunduh dan mengeksekusi sebuah shell script bernama "lol.sh" dari server jarak jauh, yaitu "pen.gorillafirewall[.]su".

NSFOCUS juga menemukan bahwa botnet ini menambahkan perintah serupa pada beberapa file penting lainnya, termasuk "/etc/inittab," "/etc/profile," dan "/boot/bootcmd", sehingga script tersebut dijalankan pada saat sistem dinyalakan atau ketika pengguna masuk. Ini menunjukkan bahwa botnet Gorilla telah mengimplementasikan berbagai teknik untuk mempertahankan keberadaannya dalam jangka panjang di perangkat IoT dan host cloud yang terinfeksi.

Botnet Gorilla memperkenalkan berbagai metode serangan DDoS dan menggunakan algoritma enkripsi yang sering digunakan oleh kelompok Keksec. Teknik enkripsi ini digunakan untuk menyembunyikan informasi penting serta memanfaatkan berbagai teknik untuk menjaga kendali jangka panjang atas perangkat IoT yang telah terinfeksi, sehingga menunjukkan kesadaran tinggi terhadap upaya deteksi.

Penelitian ini menunjukkan bahwa botnet Gorilla merupakan ancaman yang semakin berkembang dalam lanskap keamanan siber global, mengingat kompleksitas dan fleksibilitasnya. Dengan kemampuan untuk menyerang berbagai jenis perangkat dan infrastruktur, botnet ini memperlihatkan tingginya tingkat adaptasi dan inovasi dalam upaya peretas untuk mempertahankan kendali terhadap perangkat yang telah diambil alih. Perlu dicatat bahwa Mirai sebelumnya sudah menjadi salah satu botnet yang sangat merusak, dan evolusi dari kode sumbernya ke dalam varian baru seperti Gorilla menunjukkan bahwa ancaman ini belum mereda.

Lebih lanjut, dengan pemanfaatan protokol yang memungkinkan IP spoofing, serta metode untuk mempertahankan kendali atas perangkat yang terinfeksi, botnet Gorilla menunjukkan tingginya tingkat kecanggihan teknis. Hal ini menambah daftar panjang tantangan yang dihadapi oleh komunitas keamanan siber global dalam melindungi jaringan dan perangkat mereka dari serangan yang semakin canggih dan berbahaya.

Bagi para praktisi keamanan siber, temuan ini merupakan pengingat penting bahwa kewaspadaan dan pembaruan terus-menerus pada sistem keamanan adalah langkah vital untuk melindungi infrastruktur kritis dari ancaman DDoS yang terus berkembang. Sebagai botnet baru yang telah menyerang ribuan perangkat di seluruh dunia, Gorilla memiliki potensi besar untuk menjadi salah satu ancaman utama di ranah siber dalam waktu dekat.