Cyberthreat.id – Trik berbahaya para peretas adalah ketika ia dapat menyembunyikan program berbahaya dalam UEFI komputer, kode mendalam yang memberi tahu PC cara memuat sistem operasinya. Namun ketika produsen motherboard memasang backdoors tersembunyinya sendiri di firmware jutaan komputer — dan bahkan tidak memasang kunci yang tepat-- mereka praktis melakukan pekerjaan peretas untuk mereka.

Kondisi tersebut tentu saja sangat mencemaskan. Lalu apakah benar, produsen memasang pintu untuk dirinya sendiri dengan tujuan meretas itu. Merujuk pada tulisan WIRED.com, maka jawabannya jelas terjadi.

Mengutip para peneliti di perusahaan cybersecurity yang berfokus pada firmware, Eclypsium mengungkapkan bahwa mereka menemukan mekanisme tersembunyi dalam firmware motherboard yang dijual oleh pabrikan Taiwan Gigabyte, yang komponennya biasa digunakan di PC gaming dan komputer berperforma tinggi lainnya.

Setiap kali komputer dengan motherboard Gigabyte yang terpengaruh dihidupkan ulang, Eclypsium menemukan, kode di dalam firmware motherboard secara tidak terlihat memulai program pembaruan yang berjalan di komputer dan pada gilirannya mengunduh dan menjalankan perangkat lunak lain.

Eclypsium mengatakan bahwa kode tersembunyi dimaksudkan untuk menjadi alat yang tidak berbahaya untuk memperbarui firmware motherboard, para peneliti menemukan bahwa itu diterapkan dengan tidak aman, berpotensi memungkinkan mekanisme untuk dibajak dan digunakan untuk menginstal malware alih-alih program yang dimaksudkan Gigabyte. Dan karena program pembaru dipicu dari firmware komputer, di luar sistem operasinya, sulit bagi pengguna untuk menghapus atau bahkan menemukannya.

"Jika Anda memiliki salah satu mesin ini, Anda harus khawatir tentang fakta bahwa itu pada dasarnya mengambil sesuatu dari internet dan menjalankannya tanpa melibatkan Anda, dan tidak melakukan semua ini dengan aman," kata John Loucaides, yang memimpin strategi dan penelitian di Eclypsium sebagaimana dikutip WIRED.com.

Dalam posting blognya tentang penelitian tersebut, Eclypsium mencantumkan 271 model motherboard Gigabyte yang menurut para peneliti terpengaruh. Loucaides menambahkan bahwa pengguna yang ingin melihat motherboard mana yang digunakan komputer mereka dapat memeriksanya dengan membuka "Start" di Windows lalu "System Information’.

Eclypsium mengatakan menemukan mekanisme firmware tersembunyi Gigabyte saat menjelajahi komputer pelanggan untuk mencari kode berbahaya berbasis firmware, alat yang semakin umum digunakan oleh peretas canggih.

Pada 2018, misalnya, peretas yang bekerja atas nama badan intelijen militer GRU Rusia ditemukan diam-diam memasang perangkat lunak anti-pencurian berbasis firmware LoJack pada mesin korban sebagai taktik mata-mata.

Peretas yang disponsori negara China terlihat dua tahun kemudian menggunakan kembali alat spyware berbasis firmware yang dibuat oleh perusahaan peretas yang disewa Tim Peretasan untuk menargetkan komputer diplomat dan staf LSM di Afrika, Asia, dan Eropa.

Peneliti Eclypsium terkejut melihat pemindaian deteksi otomatis mereka menandai mekanisme pembaru Gigabyte untuk melakukan beberapa perilaku yang sama seperti alat peretasan yang disponsori negara — bersembunyi di firmware dan diam-diam menginstal program yang mengunduh kode dari internet.

Updater Gigabyte saja mungkin telah menimbulkan kekhawatiran bagi pengguna yang tidak mempercayai Gigabyte untuk menginstal kode secara diam-diam pada mesin mereka dengan alat yang hampir tidak terlihat—atau yang khawatir bahwa mekanisme Gigabyte dapat dieksploitasi oleh peretas yang mengkompromikan pabrikan motherboard untuk mengeksploitasi akses tersembunyinya di serangan rantai pasokan perangkat lunak.

Tetapi Eclypsium juga menemukan bahwa mekanisme pembaruan diimplementasikan dengan kerentanan mencolok yang memungkinkannya untuk dibajak: Ini mengunduh kode ke mesin pengguna tanpa mengautentikasi dengan benar, terkadang bahkan melalui koneksi HTTP yang tidak terlindungi, daripada HTTPS. Ini akan memungkinkan sumber instalasi dipalsukan oleh serangan man-in-the-middle yang dilakukan oleh siapa saja yang dapat mencegat koneksi internet pengguna, seperti jaringan Wi-Fi nakal.

Dalam kasus lain, pembaru yang dipasang oleh mekanisme di firmware Gigabyte dikonfigurasikan untuk diunduh dari perangkat penyimpanan terpasang jaringan (NAS) lokal, sebuah fitur yang tampaknya dirancang untuk jaringan bisnis untuk mengelola pembaruan tanpa semua mesin mereka menjangkau ke internet. Tetapi Eclypsium memperingatkan bahwa dalam kasus tersebut, aktor jahat di jaringan yang sama dapat memalsukan lokasi NAS untuk memasang malware mereka sendiri secara tidak terlihat.

Eclypsium mengatakan telah bekerja dengan Gigabyte untuk mengungkapkan temuannya kepada produsen motherboard, dan bahwa Gigabyte mengatakan berencana untuk memperbaiki masalah tersebut. Gigabyte tidak menanggapi beberapa permintaan komentar WIRED terkait temuan Eclypsium.

Bahkan jika Gigabyte melakukan perbaikan untuk masalah firmware-nya, masalahnya berasal dari alat Gigabyte yang dimaksudkan untuk mengotomatiskan pembaruan firmware—Eclypsium's Loucaides menunjukkan bahwa pembaruan firmware seringkali dibatalkan secara diam-diam pada mesin pengguna, dalam banyak kasus karena kompleksitas dan kesulitan pencocokan firmware dan perangkat keras. “Saya masih berpikir ini akan menjadi masalah yang cukup meluas pada Gigabyte boards untuk tahun-tahun mendatang,” kata Loucaides.

Mengingat jutaan perangkat yang berpotensi terpengaruh, penemuan Eclypsium “mengganggu,” kata Rich Smith, yang merupakan kepala petugas keamanan dari startup keamanan dunia maya yang berfokus pada rantai pasokan, Crash Override. Smith telah menerbitkan penelitian tentang kerentanan firmware dan meninjau temuan Eclypsium. Dia membandingkan situasinya dengan skandal rootkit Sony di pertengahan tahun 2000-an.

Sony telah menyembunyikan kode manajemen hak digital pada CD yang secara tidak terlihat memasang dirinya sendiri di komputer pengguna dan dengan demikian menciptakan kerentanan yang digunakan peretas untuk menyembunyikan malware mereka.

“Anda dapat menggunakan teknik yang secara tradisional digunakan oleh aktor jahat, tetapi itu tidak dapat diterima, itu melewati batas,” kata Smith. “Saya tidak dapat menjelaskan mengapa Gigabyte memilih metode ini untuk mengirimkan perangkat lunak mereka. Tapi bagi saya, ini terasa seperti melewati batas yang sama di ruang firmware.”

Smith mengakui bahwa Gigabyte mungkin tidak memiliki niat jahat atau penipuan dalam alat firmware tersembunyinya. Tetapi dengan meninggalkan kerentanan keamanan dalam kode tak terlihat yang terletak di bawah sistem operasi banyak komputer, hal itu mengikis lapisan fundamental kepercayaan yang dimiliki pengguna pada mesin mereka.

“Tidak ada niat di sini, hanya kecerobohan. Tapi saya tidak ingin siapa pun menulis firmware saya yang ceroboh,” kata Smith. “Jika Anda tidak percaya pada firmware Anda, Anda sedang membangun rumah Anda di atas pasir.”[]