CryptoJacking Serang Masif MikroTik di Indonesia

Kegiatan masif cryptomining sudah menjadi perhatian peneliti di firma keamanan ESET sejak awal tahun, karena penambangan mata uang virtual ini membawa dampak buruk dengan meluasnya CryptoJacking. Kekhawatiran itu kini menjadi kenyataan dengan munculnya serangan CryptoJacking besar-besaran ke seluruh dunia yang menargetkan pengguna router MikroTik pada 31 Juli 2018, sementara serangan ini mulai di rasakan Indonesia baru-baru ini.

Dalam dunia router, MikroTik sudah sangat familiar bagi pengguna internet di Indonesia sebagai sistem operasi dan perangkat lunak yang dapat digunakan untuk menjadikan komputer biasa menjadi router network. Sebagai penyedia solusi murah untuk fungsi router, tidak heran jika pengguna MikroTik di Indonesia cukup besar terutama di pulau Jawa dan Bali. Jadi sudah sepatutnya pengguna di Indonesia lebih berhati-hati, mengingat jumlah MikroTik yang berhasil disusupi mencapai lebih dari 200.000 perangkat.

Cara kerja

Serangan ke router MikroTik disebabkan oleh kerentanan lama yaitu CVE-2018-14847 yang mempengaruhi router MikroTik yang segera di-patch pabrikan pada April 2018 (https://nvd.nist.gov/vuln/detail/CVE-2018-14847)

Pelaku menggunakan akses itu untuk mengubah konfigurasi lalu menyuntikkan salinan skrip penambangan cryptocurrency Coinhive atau Crypto-Loot di web browser pengguna. Mereka menyuntikkan skrip Coinhive ke setiap laman web yang dikunjungi pengguna, dan kemudian hanya ke error page atau laman kesalahan khusus untuk membuat serangan itu tidak begitu kentara dan memperkecil kemungkinan untuk terlihat.

Jadi, jika pengguna menerima laman kesalahan dalam bentuk apa pun saat menjelajah web, mereka akan mendapatkan laman kesalahan khusus ini yang akan menambang Coinhive untuk pelaku. Mereka juga memastikan untuk menambahkan mekanisme persistensi dan schedule update jika diperlukan misalnya dalam kasus Coinhive memblokir situs kunci pelaku, dengan adanya update, situs yang terkunci akan digantikan dengan yang lain. Sementara untuk mengirim perintah ke semua perangkat yang disusupi mereka menggunakan alternatif lain seperti backdoor.

Menggilanya serangan CryptoJacking pada router MikroTik mendapat perhatian khusus dari Technical Consultant PT Prosperita – ESET Indonesia, Yudhi Kukuh “Operasi Cryptojacking yang mengincar MikroTik sebenarnya sudah berlangsung sejak akhir bulan lalu, namun pengguna di Indonesia baru merasakan dampaknya saat ini dimulai dengan melambatnya akses internet. Problem utamanya disebabkan oleh sistem operasi MikroTik yang belum di-update akibat keteledoran pengguna yang lupa memperbaruinya. Untuk kasus serangan ini, bisa dibayangkan bila sebuah router sudah terinfeksi maka seluruh komputer atau peramban yang ada di jaringan akan mudah terinfeksi.”

Efek CryptoJacking

Operator di balik kegiatan penambangan mata uang digital selalu melakukan operasi kriminal mereka tanpa menarik perhatian, karena itu penambangan cryptocurrency dengan malware terkait biasanya dirancang untuk beroperasi tanpa terlihat, menghindari deteksi selama mungkin, dan berusaha seminimal mungkin tidak membuat gangguan yang dapat menyebabkan kecurigaan. Untuk alasan ini, penambangan cryptocurrency ilegal terjadi di luar jam kerja. Sementara dampak dari CryptoJacking dapat menyebabkan beberapa hal berikut:

1. Dampak yang paling jelas adalah peningkatan konsumsi bandwidth internet karena proses penambangan akan selalu bekerja.
2. Selanjutnya, akses internet akan dirasakan lebih lambat akibat aktivitas penambangan ilegal, menyebabkan downtime yang harus dibayar mahal dengan kinerja perusahaan yang terganggu, terutama untuk bisnis online.
3. Dampak pada komputer yang terkena adalah peningkatan konsumsi daya pada prosessor karena prosessor akan dipaksa bekerja untuk proses penambangan ini.

Mengatasi CryptoJacking

Dalam seminggu terahir, ESET Indonesia menerima beberapa laporan tentang munculnya alert pada komputer mereka yang dikenali sebagai JS/CoinMinner.D dan JS/CoinMinner.E. Alert ini muncul sebagai bentuk pertahanan terhadap proses injeksi CryptoJacking ke dalam komputer dan dapat secara otomatis diblok.

Mengingat, perangkat ini cukup populer di Indonesia langkah berikut dapat digunakan untuk mengatasinya:

1. Untuk para administrator, segera dilakukan penambalan lubang keamanan (patching) pada perangkat MikroTik yang digunakan karena pihak vendor sudah menyediakan patching
2. Gunakan perlindungan untuk seluruh endpoint/server tanpa terkecuali, hal ini dapat menangkal masalah lebih lanjut yang dapat terjadi bila terinfeksi.
3. Aktifkan fitur PUA (Potentially Unwanted Application) pada sistem perlindungan yang digunakan. Hal ini untuk mencegah berjalannya program-program yang tidak diinginkan yang dapat menyebabkan penggunaan resources yang tinggi atau gangguan yang mungkin muncul saat sedang bekerja.
4. Terapkan solusi pemantau jaringan atau Network Security Analyst System. Cryptojacking akan dapat dideteksi karena solusi ini mampu menganalisis data jaringan dan ancaman lainnya secara spesifik. Kebanyakan Network Analyst System lebih fokus pada performa komputer dan sedikit sekali yang fokus kepada security seperti GreyCortex.

“Kesadaran keamanan data harus tinggi untuk setiap pengguna teknologi. Sudah merupakan keharusan untuk selalu memperbaharui sistem operasi pada perangkat apapun, karena selain untuk memperbaiki permasalahan yang mungkin terjadi dapat pula sebagai penambahan fitur tertentu sesuai perkembangan teknologi“ pungkas Yudhi.