Security

Botnet C0XMO Meluas Lewat Celah DD-WRT: Luncurkan Serangan DDoS dan Basmi Malware Pesaing

1 minute ago
3 minutes read

Para peneliti keamanan siber dari Fortinet baru saja mendeteksi kemunculan varian baru dari botnet legendaris Gafgyt yang dinamakan C0XMO. Botnet generasi terbaru ini secara agresif menargetkan firmware router populer DD-WRT, namun dirancang sangat modular sehingga mampu menginfeksi berbagai jenis perangkat lain lintas arsitektur CPU.

Dalam aksinya, C0XMO tidak hanya menguras sumber daya perangkat korban untuk melancarkan serangan siber skala besar, tetapi juga bertindak bak “penguasa tunggal” dengan memburu dan membasmi malware saingan yang bersarang di dalam perangkat yang sama.

1. Arsitektur Canggih Lintas Platform dan Lintas CPU

Hal yang membuat Fortinet mengategorikan C0XMO sebagai ancaman yang memiliki tingkat kecanggihan operasional di atas rata-rata botnet IoT (Internet of Things) biasa adalah fleksibilitas payload-nya. Tim peneliti menemukan sampel biner C0XMO yang dikompilasi khusus untuk arsitektur:

  • ARM, MIPS, PowerPC, SuperH, x86, hingga x86_64.

Kemampuan ini membuat C0XMO dapat merayap dari router DD-WRT ke berbagai perangkat digital lain di dalam jaringan, seperti Digital Video Recorder (DVR), platform manajemen video, sistem kontrol industri, hingga perangkat berbasis Android (melalui eksploitasi Android Debug Bridge/ADB).

Salah satu kasus yang terdeteksi adalah serangan terhadap sebuah perusahaan teknologi di Jepang, meskipun setelah dilacak, alamat IP sumber serangan tersebut berasal dari perangkat terinfeksi yang berada di Jerman.

2. Vektor Infeksi: Eksploitasi CVE-2021-27137 Tanpa Autentikasi

C0XMO masuk dan menginfeksi perangkat target dengan memanfaatkan celah keamanan lama yang belum ditambal oleh pemiliknya, yaitu CVE-2021-27137.

  • Kelemahan Buffer Overflow: Kerentanan ini terjadi akibat kurangnya proses sanitasi teks pada input pengguna (insufficient user input) di dalam firmware DD-WRT.
  • Eksekusi Kode Jarak Jauh (RCE): Peretas dapat memanfaatkan celah ini dari jarak jauh tanpa memerlukan nama pengguna atau kata sandi (unauthenticated) untuk mengeksekusi kode perintah acak dan langsung menanamkan malware.

3. Metode Penyebaran: Pemindai Skrip Python Otomatis

Untuk memperluas jaringan budak komputasinya (zombie devices), C0XMO mengunduh skrip otomatis berbasis bahasa Python yang otomatis menginstal pustaka eksternal seperti requests, paramiko, dan beautifulsoup4. Pustaka ini krusial untuk menjalankan pemindaian jaringan dan komunikasi lewat protokol SSH dan Telnet.

Strategi Pergerakan Lateral (Lateral Movement):

  1. Scanning Massal: Menggunakan worker threads untuk memindai sistem yang terbuka di internet secara acak pada port-port umum seperti Port 22 (SSH), 23 (Telnet), 80/443 (HTTP/HTTPS), 7547, 8080, 8443, dan 8888.
  2. Brute-Force Kredensial: Jika menemukan port yang terbuka, skrip akan mencoba menebak kata sandi lemah (taktik brute-force).
  3. Deteksi CPU & Injeksi: Begitu berhasil masuk, skrip secara otomatis mengidentifikasi jenis arsitektur CPU perangkat tersebut dan langsung mengunduh biner C0XMO yang kompatibel.

4. Teknik Persistensi dan Aksi “Kanibalisme” Terhadap Malware Lain

Begitu berhasil menguasai sebuah perangkat, C0XMO langsung mengamankan posisinya agar tidak mudah dihapus dengan taktik pertahanan berlapis:

  • Sembunyikan Biner: Malware menyalin dirinya ke direktori tersembunyi seperti /tmp/.sys, /var/tmp/.sys, dan /dev/shm/.sys.
  • Automasi Start-up: Malware memodifikasi file profil shell sistem dan membuat jadwal tugas otomatis (cron jobs) untuk memastikan biner C0XMO diluncurkan ulang setiap 15 minutes jika mendadak mati.
  • Membantai Malware Pesaing (Monopoli Sistem): C0XMO secara aktif memindai proses yang sedang berjalan di dalam sistem untuk mendeteksi keberadaan klien botnet saingan, peralatan peretasan (red-team tools), hingga perkakas pemrograman yang dapat mengganggu operasinya.

Jika C0XMO menemukan malware lain, ia akan langsung menghentikan prosesnya (kill process), menghapus file binernya, serta membersihkan mekanisme persistensinya (seperti menghapus cron jobs, skrip inisialisasi, dan layanan sistem milik malware saingan tersebut) agar ia menjadi satu-satunya penguasa sumber daya perangkat.

5. Mengusung 19 Metode Serangan DDoS Mematikan

Setelah berhasil membersihkan sistem dari gangguan, C0XMO akan melakukan komunikasi multi-tahap (multi-stage handshake) yang dilengkapi string ajaib (magic strings) dan rahasia bersama (shared secrets) untuk terhubung ke server Command-and-Control (C2) milik peretas.

Malware ini murni digunakan sebagai mesin peluncur serangan Distributed Denial-of-Service (DDoS) masif dan mendukung 19 metode serangan berbeda, yang meliputi:

  • UDP/TCP/SYN/ICMP Floods
  • Serangan “Ping of Death”
  • Amplifikasi NTP dan Memcached
  • Discord Voice UDP Floods (menargetkan server komunikasi Discord)
  • Valve-Specific Floods (menargetkan server game berbasis engine Valve / Steam)

Langkah Pertahanan dan Mitigasi

Melihat arsitekturnya yang jauh lebih kompleks dan matang dibanding varian Gafgyt terdahulu, Fortinet mengimbau para pengguna router dan perangkat IoT untuk memperketat keamanan jaringan melalui langkah berikut:

  1. Perbarui Firmware Secara Berkala: Segera lakukan pembaruan (update) firmware router DD-WRT Anda ke versi terbaru untuk menutup celah CVE-2021-27137.
  2. Ganti Kredensial Default: Jangan pernah menggunakan nama pengguna dan kata sandi bawaan pabrik. Gunakan kombinasi enkripsi yang kuat dan unik untuk akses SSH/Telnet.
  3. Matikan Akses Jarak Jauh (Remote Access): Nonaktifkan fitur manajemen jarak jauh jika tidak benar-benar diperlukan, sehingga port sensitif tidak terekspos langsung ke jaringan internet publik.

Sumber: Laporan Analisis Malware IoT Fortinet Labs 2026 / Buletin Ancaman Gafgyt C0XMO

Tags
1 minute ago
3 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button