Cyberthreat.id–LILIN, produsen perangkat rekam video digital (digital video recorder/DVRs) asal Inggris, diserang perangkat lunak jahat (malware) botnet yang mengeksploitasi tiga celah keamanan (bug) zero day—celah keamanan yang belum ditambal.

Serangan terjadi selama lebih dari enam bulan (sejak Agustus 2019) sebelum akhirnya perusahaan menambal celah itu pada Februari 2020. Aksi peretas ini ditemukan oleh tim Netlab, unit riset pada perusahaan keamanan siber asal China, Qihoo 360, seperti diberitakan ZDNet, Sabtu (21 Maret 2020).

DVRs biasanya dipasang pada jaringan perusahaan yang mengumpulkan video dari kamera pengintai (CCTV) lokal atau sistem kamera IP. Perangkat menyimpannya dalam berbagai sistem penyimpanan, seperti HDD, SSD, USB, dan kartu memori SD. DVRs biasanya dipakai bersamaan dengan kamera keamanan rumah. Diketahui, saat ini ada sekitar 5.000 LILIN DVRs terhubung ke internet.

Sejak awal 2010, ketika CCTV mulai populer, botnet juga telah mulai menargetkan sistem DVRs. Perangkat cenderung beroperasi dengan kredensial standar pabrik atau firmware lama sehingga paling mudah diretas. Seringkali peretas mengeksploitasinya untuk dipakai dalam meluncurkan serangan DDoS. Selain LILIN, berbagai merek DVRs lain juga telah menjadi “makanan empuk” ratusan botnet DDoS (Distributed Denial of Service).

Tiga kerentanan yang dieksploitasi, menurut Netlab, antara lain:

• kerentanan pada proses NTPUdate yang memungkinkan penyerang menyuntikkan dan menjalankan perintah sistem
• melalui penggunaan salah satu dari dua kredensial hardcoded (root/icatch99 dan report/8Jg0SR8K50), seorang penyerang dapat mengambil dan memodifikasi file konfigurasi DVRs, dan kemudian menjalankan perintah pada perangkat ketika konfigurasi server FTP (File Transfer Protocol) disinkronkan secara berkala
• mirip dengan nomor tiga, tapi penyerang mengeksploitasi melalui layanan NTP (Network Time Protocol).

Ada tiga operator botnet yang mengeksploitasi kerentanan tersebut. Pertama, botnet Chalubo yang mulai menyalanggunakan kerentanan NTPUpdate untuk mengambil alih DVRs sejak akhir Agustus 2019.

Selanjutnya, kerentanan kedua dan ketiga dieksploitasi oleh botnet FBot sejak Januari lalu. Dua pekan setelah FBot menyerang, operator lain yaitu botnet Moobot mulai mengeksploitasi kerentanan kedua.

Dalam temuan itu, Netlab tidak menjelaskan detail apa yang sedang dilakukan operator botnet tersebut. Namun, sebagian besar botnet itu memiliki sejarah meluncurkan serangan DDoS dan bertindak sebagai jaringan proxy dan mengarahkan kembali lalu lintas untuk aktor jahat.

Sejak penemuan itu, Netlab mengatakan telah menghubungi LILIN dua kali, dan butuh waktu hampir sebulan, hingga produsen merilis pembaruan firmware bersamaan saran mitigasi.[]