Botnet Gorilla Baru Diluncurkan

Security Article

Peneliti keamanan siber baru-baru ini mengungkapkan adanya botnet baru yang mengkhawatirkan, dikenal sebagai Gorilla (atau GorillaBot), yang merupakan varian yang berasal dari kode sumber botnet Mirai yang bocor. Penemuan ini dilakukan oleh perusahaan keamanan siber NSFOCUS, yang melaporkan bahwa botnet Gorilla sangat aktif, mengeluarkan lebih dari 300.000 perintah serangan dalam waktu singkat, khususnya antara 4 September dan 27 September 2024. Rata-rata, ini berarti sekitar 20.000 perintah per hari, menunjukkan ancaman signifikan dan berkelanjutan terhadap keamanan siber global.

Sorotan Utama:

  • Sektor yang Disasar: Botnet Gorilla tidak memilih target dengan sembarangan. Ia telah menyerang berbagai sektor, termasuk:
    • Universitas: Institusi pendidikan menjadi sasaran, kemungkinan karena langkah-langkah keamanan yang seringkali kurang ketat.
    • Situs Pemerintah: Situs-situs ini sangat penting untuk layanan publik dan pemerintahan, menjadikannya target utama untuk gangguan.
    • Telekomunikasi dan Perbankan: Infrastruktur kritis dan sektor keuangan sangat penting untuk operasi sehari-hari dan stabilitas ekonomi, menjadikannya sasaran yang menarik bagi para penjahat siber.
    • Industri Permainan dan Perjudian: Sektor-sektor ini sangat rentan karena lalu lintas online yang tinggi dan transaksi keuangan.

    Aktivitas botnet ini telah mencakup lebih dari 100 negara, dengan China, AS, Kanada, dan Jerman muncul sebagai negara yang paling terkena dampak.

  • Metode Serangan: Botnet Gorilla menggunakan berbagai teknik serangan DDoS (Distributed Denial-of-Service), termasuk:
    • Flood UDP: Membanjiri target dengan sejumlah besar paket UDP.
    • Flood ACK BYPASS: Mengeksploitasi protokol TCP untuk melewati pertahanan.
    • Flood SYN: Memulai sejumlah besar permintaan koneksi untuk menghabiskan sumber daya.

    Penggunaan protokol UDP, yang bersifat tanpa koneksi, memungkinkan penyerang untuk menyamarkan alamat IP sumber secara sembarangan, sehingga menghasilkan jumlah lalu lintas yang besar yang dapat membanjiri sistem target.

  • Kemampuan Teknis: Gorilla dirancang untuk fleksibel, mendukung berbagai arsitektur CPU seperti ARM, MIPS, x86_64, dan x86. Fleksibilitas ini memungkinkannya untuk menginfeksi berbagai perangkat, termasuk perangkat IoT dan server. Botnet ini terhubung ke salah satu dari lima server perintah dan kontrol (C2) yang telah ditentukan untuk menunggu perintah DDoS lebih lanjut, menunjukkan struktur yang terorganisir.
  • Eksploitasi Kerentanan: Dalam twist yang menarik, malware Gorilla juga menyertakan fungsi yang mengeksploitasi kerentanan dalam Apache Hadoop YARN RPC. Kerentanan ini memungkinkan malware untuk mencapai eksekusi kode jarak jauh, yang bisa sangat merusak. Para ahli keamanan mencatat bahwa kerentanan ini telah dieksploitasi di dunia nyata sejak 2021, menyoroti risiko yang terus ada terkait dengan kerentanan yang tidak ditambal.
  • Mekanisme Persistensi: Untuk mempertahankan keberadaannya di sistem yang terinfeksi, botnet Gorilla menggunakan mekanisme persistensi. Ia membuat file layanan bernama custom.service di direktori “/etc/systemd/system/”, memastikan bahwa ia berjalan secara otomatis setiap kali sistem dinyalakan. Layanan ini bertanggung jawab untuk mengunduh dan mengeksekusi skrip shell (disebut “lol.sh”) dari server jarak jauh yang dikenal sebagai “pen.gorillafirewall[.]su.” Selain itu, perintah serupa juga disematkan dalam file sistem penting seperti “/etc/inittab,” “/etc/profile,” dan “/boot/bootcmd,” untuk memastikan bahwa skrip jahat dijalankan saat sistem dinyalakan atau saat pengguna login.
  • Teknik Counter-Detection: Botnet Gorilla menunjukkan tingkat kecanggihan yang tinggi dalam operasinya. Ia memperkenalkan berbagai metode serangan DDoS dan menggunakan algoritma enkripsi yang umum digunakan oleh kelompok Keksec untuk menyembunyikan informasi penting. Tingkat kesadaran terhadap deteksi yang tinggi ini menunjukkan bahwa Gorilla bukan sekadar botnet biasa; ia adalah bagian dari generasi baru malware yang semakin canggih dan sulit terdeteksi.

Kesimpulan

Munculnya botnet Gorilla menjadi pengingat yang jelas tentang perkembangan ancaman siber yang terus berlangsung. Seiring dengan perkembangan metode serangan yang semakin canggih oleh para penjahat siber, organisasi harus tetap waspada dan proaktif dalam strategi keamanan siber mereka. Volume dan variasi serangan yang diluncurkan oleh Gorilla menyoroti kebutuhan mendesak akan langkah-langkah keamanan yang kuat di semua sektor, terutama yang sering menjadi target.

Menyusul perkembangan ini, sangat penting bagi organisasi untuk menerapkan protokol keamanan yang komprehensif, melakukan penilaian kerentanan secara rutin, dan mendidik staf mereka tentang risiko yang terkait dengan serangan DDoS dan malware. Dengan tetap terinformasi dan siap, bisnis dapat lebih baik melindungi diri mereka dari ancaman yang berkembang dari botnet seperti Gorilla.