Peneliti Keamanan Siber Temukan Backdoor di Router Jetstream dan WavLink Buatan China


Kolaborasi peneliti keamanan siber antara Mantas Sasnauskas, James Clee dan Roni Carta menemukan adanya akses backdoor pada router Jetstream buatan China yang dijual di berbagai marketplace dunia, seperti Amazon, eBay maupun Walmart (kemungkinan juga tersedia di marketplace lokal). Akses backdoor ini memungkinkan penyerang dapat mengakses jarak jauh apapun yang terhubung dengan jaringan router tersebut.

Pertama kali exploitasi ini ditemukan oleh portal berita sekaligus peneliti keamanan siber, CyberNews, yang kemudian pihaknya mencoba menghubungi Walmart untuk meminta penjelasan mengenai adanya akses backdoor yang disembunyikan oleh pelaku dan meminta tanggapan bagaimana keamanan data pelanggan.

"Terimakasih telah memberitahu hal ini kepada kami. Kami sedang mempelajari masalah ini untuk lebih lanjut. Item yang dipermasalahkan saat ini sudah habis terjual dan kami tidak berencana mengisi kembali," Juru Bicara Walmart, melalui CyberNews (23/11/20).

Peneliti keamanan siber itu tidak hanya menemukan router Jetstream yang memiliki backdoor, ia juga menemukan router lain yang diduga menyembunyikan akses backdoor jarak jauh dan produk itu adalah WavLink yang dijual murah di Amazon dan eBay. Hebatnya router WavLink, dapat mendeteksi Wi-Fi terdekat dan memiliki kemampuan yang dapat terhubung ke jaringan tersebut.

Peneliti keamanan meyakini bahwa ini benar-benar akses backdoor yang masih aktif. Selain itu, ia juga menambahkan bahwa router ini berusaha menambahkan perangkat yang terhubung kepada Botnet Mirai. Botnet Mirai merupakan malware yang menginfeksi perangkat yang terhubung ke jaringan tersebut dan mengubahnya menjadi bot yang dapat dikendalikan oleh seseorang dari jarak jauh. Serangan Botnet dengan skala besar mampu melumpuhkan situs besar seperti halnya yang terjadi pada tahun 2016 dengan tema serangan DNS Dyn dan korban saat itu adalah Reddit, CNN, Github, Twitter dan lain-lain.

"Saya tertarik dengan beberapa produk buatan China yang sepintas dijual dengan harga murah. Selain itu, saya juga ingin melihat bagaimana perusahaan dalam menjaga keamanan melalui barang produksinya," tulis James Clee, dilansir dari CyberNews (23/11/20).

James Clee kemudian menghubungi CyberNews dan Roni Carta. "James berbicara kepada saya atas temuannya dan saya segera mencoba mencari perusahaan lain yang menjual router dengan firmware sama dan akhirnya menemukan perangkat Jetstream yang rentan," kata Carta kepada CyberNews, (23/11/20).

WavLink Group adalah perusahaan teknologi yang menjual perangkat jaringan, seperti Mesh Wi-Fi, Router, Repeater, Adapter, Wireless AV, Powerline dan perangkat PC peripheral berbasis di Shenzhen Provinsi Guangdong, China.

Dari penelusuran halaman LinkedIn, bahwa ada 1000 orang yang bekerja untuk perusahaan WavLink. WavLink menjual produknya ke berbagai negara besar, diantaranya adalah China, Timur Tengah, HongKong, Australia, Norwegia dan lain-lain. Parahnya produk ini sudah banyak terjual di negara kita, Indonesia.

"Kami meyakini bahwa kedua perusahaan teknologi Jetstream dan WavLink merupakan anak perusahaan dari Winstarts Technology Ltd yang bermarkas di Shenzhen, China," tulis Sasnauskas. (23/11/20).

Hasil penelitian dari James Clee bahwasanya perangkat router WavLink dan Jetstream benar-benar terbukti dalam menyembunyikan backdoor aktif di perangkat router tersebut.

"Setelah mencoba membeli router yang pertama dan menganalisis, saya membeli dua repeater berbeda di Amazon. Meskipun bentuknya terlihat berbeda, secara teknis ketiganya memiliki rantai exploitasi yang sama persis dan saya curiga pasti ada banyak perangkat WavLink yang dapat di exploitasi jarak jauh," kutip James Clee.

Tampilan GUI Backdoor WavLink dan Jetstream

Photo: Backdoor GUI (CyberNews)

Akses backdoor yang dimiliki Jetstream dan WavLink memiliki tampilan yang sederhana. Namun, untuk backdoor WavLink memiliki instruksi yang dapat mengatur dalam penggunaannya mengakses perangkat jarak jauh.

Backdoor ini bekerja saat pengguna terhubung ke jaringan itu, karena untuk mengeksploitasi jaringan harus memiliki akses ke perangkat. Jika pengguna sudah terhubung, maka penyerang dapat mengakses jarak jauh ke router tersebut.

Peneliti keamanan juga menemukan adanya informasi kredensial yang terdapat pada script JavaScript. Script tersebut bekerja mengambil kata sandi root dan mengakses komputer korban jarak jauh dan parahnya meskipun sudah mengganti kata sandi dengan yang baru, itu sama percuma saja.

Dalam penelitian mengenai scanning jaringan Wi-Fi lain, ada satu file yang diberi nama getwifi.sh pada folder bin dan isi script tersebut mencantumkan seluruh koneksi jaringan terdekat. WavLink juga memiliki kemampuan yang dapat terhubung ke jaringan lain.

Photo: file getwifi.sh (grabber connection)

Berikut adalah tampilan login dari router Jetstream dan WavLink yang disusupi parameter dan script JavaScript.

Gambar-1 Login Page

Tak hanya itu WavLink dan Jetstream juga menyembunyikan URL ke halaman mereka yang berisi file JavaScript.

Solusi Pengguna Router WavLink dan Jetstream

Jika sebelumnya sudah pernah terhubung dengan jaringan router WavLink dan Jetstream, tidak dapat berbuat lebih. Namun, untuk mengurangi resiko dari penyerang mungkin bisa menggunakan koneksi VPN meskipun ini tidak sepenuhnya membantu.

Hal yang bisa dilakukan selanjutnya adalah jangan pernah membeli perangkat router atau lainnya dengan biaya murah yang dijual belikan oleh WavLink dan Jetstream. Jika sudah dipasang dirumah kamu, sebaiknya segera langsung lakukan pencopotan.

Langkah selanjutnya yaitu pembersihan cache & cookie browser, matikan jaringan yang tersedia di dekat lokasi dan lakukan reset password di seluruh akun yang kamu miliki. Untuk pencegahan yang lebih kuat backup seluruh data yang ada di komputer maupun laptop.

Menurut hasil penelitian, bukan hanya router saja yang memiliki akses backdoor ini. Namun, perangkat keras repeater Wi-Fi juga memiliki akses backdoor serupa.