“Pada penghujung tahun 2012 lalu webserver Apache menjadi target serangan Linux/Chapro.A, dengan karakteristik yang mirip yaitu kemampuannya untuk sembunyi sehingga sulit tertangkap oleh system administrators. Pada serangan terbaru ini, Linux/Cdorked.A bahkan tidak meninggalkan jejak di hard drive, tempat bercokolnya, dan mengingat webserver Apache adalah webserver yang dipakai didunia, maka tentu akan mengganggu proses kerja situs, dan lembaga itu sendiri. Sedangkan pemantauan secara ketat dan proses analisa terhadap Linux/Cdorked.A hingga hari ini masih berlangsung” Demikian disampaikan oleh Yudhi Kukuh, Technical Consultant PT Prosperita-ESET Indonesia sehubungan dengan merebaknya aktifitas backdoor yang menyerang system berbasis Linux.
Sasaran lain yang disasar kemudian adalah webserver berbasis open source yaitu Nginx dan Lighthttpd. Nginx dan Lighthttpd yang merupakan Web server open source dan diklaim memiliki kemampuan tinggi. Sedangkan Lighttpd juga berfungsi sebagai reverse proxy dan server untuk protokol HTTP, SMTP, POP3, dan IMAP
Dari proses analisa yang dilakukan terangkum beberapa poin berikut ini sebagai kesimpulan singkat yang disarikan dari hasil analisa terhadap serangan Linux/Cdorked.A:
- 400 webservers terinfeksi Linux/Cdorked.A. 50 diantaranya adalah dari website yang masuk dalam 100,000 situs terpopuler menurut rangking Alexa.
- Backdoor juga menyerang daemon webserver lainnya. Informasi tersebut didasarkan pada laporan dari sistem administrator yang sistemnya terpapar Cdorked.A, team ESET dan Sucuri telah menganalisa binary Lighttpd dan nginx yang terkena trojan tersebut untuk menambah analisa sebelumnya pada Apache binaries.
- Berdasarkan informasi dari global telemetry data, aktifitas threat sudah ada sejak December 2012.
- Dengan menganalisa cara pelaku melakukan konfigurasi pada backdoor, temuan yang diperoleh Team peneliti ESET dan Sucuri mendapati backdoor tidak mengirimkan konten berbahaya jika alamat IP dari korban termasuk dalam daftar blacklisted IP ranges, demikian juga jika bahasa yang digunakan pada browser internet yang digunakan di set ke dalam bahasa Jepang, Finnish, Russia dan Ukrainia, Kazakh atau Belarusian.
- Dari data telemetry menunjukkan terdapat hampir 100,000 pengguna produk keamanan ESET melakukan browsing dan dialihkan ke situs yang terinfeksi Linux/Cdorked.A, tetapi karena ESET telah mampu mengenali threat dan memasukkannya dalam data base, maka upaya masuknya threat langsung di blok oleh ESET.
- Pada beberapa konfigurasi yang telah berhasil dianalisa, diperoleh temuan Pengalihan dikonfigurasi secara khusus untuk bisa menyasar target pengguna Apple iPad dan iPhone.
Upaya pengalihan pada user yang terinfeksi terjadi pada user yang menggunakan browser Internet Explorer atau Firefox dengan komputer berbasis Microsoft Windows XP, Vista atau 7. Sedangkan aktifitas penyebarannya masih tinggi dan pengguna Apple iPhone dan iPad kini menjadi target berikutnya setelah webserver Apache. Produk Apple tersebut tidak secara langsung dialihkan ke exploit kit, tetapi ditampilkan sebuah halaman dengan link ke situs porno.
Perhatikan screenshot berikut ini yang menunjukkan pengalihan pada sebuah iPhone:
Konfigurasi Linux/Cdorked.A juga menyertakan sebuah daftar panjang blacklisted IP. Pengunjung dengan IP Address yang termasuk dalam dafter tersebut dan mengunjungi situs yang yang terinfeksi Linux/Cdorked.A, tidak akan terkena konten threat yang berbahaya.
Masih menurut Yudhi Kukuh, “Masih belum bisa dipastikan bagaimana program Linux/Cdorked.A ini bisa masuk dan beroperasi didalam web servers. Yang jelas, malware ini tidak menyebar-berbiak dengan sendirinya seperti halnya virus komputer juga tidak mengeksploitasi celah dalam software tertentu. Linux/Cdorked.A adalah sebuah backdoor, yang memang dimanfaatkan oleh pelaku dengan niat jahat dengan menampilkan konten berbahaya dari situs yang legitimate. Kemungkinan besar sengaja dimasukkan melalui hacking server. Dari hasil pengalihan web ke situs porno, besar kemungkinan target ekonomi menjadi alasan kuat penyebaran” Demikian tambahnya
