Anatomi Botnet 17 Juta Node: Bagaimana Infrastruktur C2 Bertahan dan Bagaimana Cara Men-takedown
17 Juta perangkat telah teinfeksi oleh botnet, jadi bisa di katakan ada sekitar 4-5 orang penduduk terinfeksi 1 botnet di Belanda, Dengan kondisi bahwa server-server tersebut di-host di negara tersebut. Merespon hal ini kepolisian Belanda dengan NCSC (National Cyber Security Center) - Pusat keamanan Siber Nasional Inggris, melakukan kerjasama dan berhasil melakukan takedown terhadap botnet dengan mengidentifikassi dan menindak 200 server C2
Struktur C2 dan Kenapa 200 Server Bisa Mengontrol 17 Juta Node
Rasio 200 server terhadap 17 juta bot, sekitar 1:85.000 dengan arsitektur yang sangat efisien. Ada beberapa kemungkinana yang membuat server C2 ini menjadi sangat powerfull dan tidak menggunakan arsitektur seperti biasa dimana 1 server mengelola 1 botnet, dengan skala infeksi yang terjadi btonet model ini hampir pasti menggunakan tiered architecture: beberapa layer: relay/proxy dibawah, sejumlah kecil master controller di atas.
Tier Bawah (tier-1) biasanya merupakan fast-flux nodes, IP yang berputar cepat, sering kali memanfaatkan mesin atau perangkat yang sudah terinfeksi untuk melakukan infeksi ke perangkat lain yang di targetkan. Tier ini yang langsung terekspose ke traficc botnet, dan yang pertama kali terlihat atau diketahui jika dilakukan monitoring. tier-2 yang memiliki operasi yang lenih stabil, sering pakai domain generation algorithm(DGA) atau bulletproof hosting. Master controller biasnaya disembunyikan di balik lapisan anonymisasi atau bahkan tidak pernah berkomunikasi langsung dengan bot sama sekali hanya push command ke tier-2.
Statistik serangan 200 server yang teridentifikasi berlokasi di Belanda menunjukkan konsentrasi infrastuktur yang tidak biasa. Ini bisa berarti dua hal: operator memilih single jurisdoction karena alasan yang dipertimbangkan yaitu: latensi, biaya, atau relasi dengan hosting provider tertentu), atau justru 200 server ini hanya sebagain dari infrastruktur yang terlihat, tier paling bawah yang mengelolah komunikasi aktif, sementara backend yang lebih dalam mungkin tersebar di juristik lain atau negara lain.
Infection Vector dan State Machine Bot
Dalam tulisan NCSC(.)nl tidak menyebutkan malware spesifik, tapi dari skala dan komposisi perangkat yang terinfeksi (komputer, tablet, smartphone), hal ini menunjukkan bahwa botnet ini tidak disebarkan dari saku vektor saja.
Initial access paling mungkin datang dari kombinasi exploitation of unpatched vulnerabilities (terutama di edge devices dan router), credential stuffing terhadap perangkat IoT yang masih pakai default password, dan malicious download/phishing untuk endpoint konvensional.
Setelah initial access, bot lifecycle biasanya berjalan: dropper dieksekusi - establish persistence (registry key, systemd service, atau scheduled task) - kontak C2 untuk receive payload utama - masuk ke state idle/polling, dari satet idle ini, bot menunggu instruksi dari command server, yang sering dilakukan yaitu DDoS, spam relay, credential harvesting, atau distribute payload lebih lanjut lagi.
Botnet ini memiliki infrastruktur yang terbilan kuat karena, kalau malware hanya bergantung pada satu metode presistence, satu restart atau antivirus update sudah cukup untuk membersihkan atau terdeteksi oleh sistem monitoring. Botnet yang sebesar ini sangat mungkin menggunakan sistem layered: fallback yang mati, dan kadang kernel-level rootkit untuk menyembunyikan proses dari user-space scanner.
Attack Surface: Kenapa Edge Devices Jadi Target Utama
NCSC menyebut router dan smart devices secara spesifik sebagai vector yang perlu diperhatikan, karena Edge devices memiliki beberapa karakteristik yang ideal untuk operator botnet:
Pertama, update cycle yang lambat, router consumer-grade sering tidak mendapat firmware update setelah dua tahun pertama, dan bahkan kalau ada, pengguna jarang menginstalnya. Ini berarti vulnerabilities lama tetap exploitable dalam jangka waktu panjang.
Kedua, akses langsung ke network traffic, bot yang berjalan di router bisa melakukan traffic inspection, DNS hijacking, atau menjadi pivot point ke perangkat internal di belakangnya jauh lebih powerful dari bot yang berjalan di smartphone. Ketiga, visibility yang rendah. Mayoritas pengguna tidak pernah melihat apa yang berjalan di router mereka, tidak ada antivirus, tidak ada EDR, tidak ada user yang akan notice proses aneh di process list.
Default credential yang masih banyak dipakai. Credential stuffing dengan daftar default password masih efektif sampai sekarang karena adoption dari praktik password hygiene yang baik di perangkat IoT masih rendah.
Bagaimana Takedown Ini Bekerja Secara Operasional
Alur takedownnya menarik untuk dianalisis: researcher melaporkan ke NCSC - NCSC koordinasi dengan kepolisian - investigasi - seizure server + hosting provider cut off akses.
Ada dua mekanisme berbeda yang terjadi di sini. Penanguhan server oleh kepolisian untuk keperluan forensik itu standar ini untuk preserve evidence dan analisis lebih lanjut (siapa operatornya, command history, daftar bot yang terinfeksi). Tapi hosting provider yang mengambil keputusan sendiri untuk cut off seluruh infrastruktur karena alasan criminal activity itu yang membuat operasi ini berjalan lebih cepat.
Ini model yang semakin umum dipakai: law enforcement tidak harus menunggu proses hukum yang panjang untuk menangguh semua aset. Cukup koordinasi dengan hosting provider, tunjukkan bukti aktivitas kriminal, dan provider punya authority untuk terminate service berdasarkan ToS mereka sendiri. Dari sudut pandang bot, hasilnya identik: C2 unreachable, bot masuk ke fallback state atau tidak melakukan aktivitas mencurigakan monitoring.
Yang tidak selesai dari operasi ini: 17 juta perangkat yang masih terinfeksi. Takedown C2 membuat bot "headless" tidak bisa menerima command baru tapi malware di perangkat end-user masih ada. Tanpa C2, bot ini relatif inert, tapi tetap bisa diaktifkan kembali kalau operator membangun infrastruktur baru atau kalau ada attacker lain yang berhasil me-register domain DGA yang sama.
Operasi ini tutup dengan hasil yang baik dari perspektif law enforcement, tapi dari sisi security posture, 17 juta perangkat yang masih terinfeksi itu hal yang harus di perhatikan oleh pihak yang berwenang. Infrastrukturnya mati, tapi attack surface yang membuat perangkat-perangkat itu rentan sejak awal firmware usang, default credential, visibility yang buruk semuanya masih ada.
Baca Juga Tentang: Studi-Kasus: UAC-0057 OYSTER Botnet: ADB-Android Polisi-Indonesia: Law Enforcement PowMix: Botnet
Benediktus Sava – Security Researcher
Sumber: NCSC-NL
