Sering kali saya ditanya apakah serangan tertentu dilakukan oleh botnet tertentu atau tidak. Sering kali, tersangka yang diasumsikan berubah-ubah, tergantung botnet mana yang sedang ramai diberitakan pada saat itu. Saat ini, Aisuru mendominasi pemberitaan karena beberapa serangan yang memecahkan rekor yang diduga dilancarkan oleh botnet ini. Akibatnya, setiap insiden DDoS dengan trafik lebih dari 1 Tbps selalu memunculkan pertanyaan yang sama: “Apakah itu Aisuru?”
Namun, atribusi serangan DDoS itu sangat sulit dilakukan. Tidak ada jejak digital yang dapat diandalkan untuk mengidentifikasi botnet tertentu. Sebagian besar platform DDoS-for-Hire menawarkan berbagai macam pilihan serangan L3/4 dan L7, dan campuran vektor serangan pada akhirnya bergantung pada “pelanggan” yang meluncurkan serangan. Bahkan ketika seorang penyerang menggunakan semua opsi yang tersedia, membedakan satu botnet dari botnet lainnya hanya berdasarkan vektor serangan yang diamati tetaplah sebuah tantangan besar.
Kenapa Atribusi DDoS Sangat Sulit?
Salah satu masalah utama dalam atribusi serangan DDoS adalah penggunaan IP sumber yang sering kali tidak dapat diandalkan. Banyak serangan mengandalkan IP palsu atau randomisasi sumber untuk menghindari deteksi. Selain itu, serangan refleksi dan amplifikasi sering memanfaatkan server terbuka, yang semakin memperumit atribusi. Dengan banyaknya server yang tersedia untuk refleksi dan amplifikasi, tidak jarang beberapa penyerang menggunakan infrastruktur yang sama, yang menyebabkan overlap besar yang semakin menyulitkan atribusi.
Kadang-kadang, saya melihat platform DDoS-as-a-Service dengan sengaja menodai payload mereka untuk tujuan promosi. Mereka menyisipkan nama mereka atau bahkan bahasa kasar ke dalam payload paket (L3/L4) atau ke dalam URL atau POST body pada serangan L7. Ketika para peneliti kemudian melaporkan insiden-insiden ini, operator botnet tersebut mendapatkan perhatian dan iklan gratis.
Menggunakan Karakteristik Serangan untuk Menarik Kesimpulan
Meskipun atribusi menggunakan IP sumber tidak dapat diandalkan, kadang-kadang kita bisa mencoba menarik kesimpulan berdasarkan karakteristik serangan. Misalnya, mari kita lihat salah satu serangan terbaru yang memunculkan pertanyaan: “Apakah ini bisa diatributkan ke Aisuru?”
Pada sebuah serangan DDoS 1,5 Tbps, sebagian besar paket dalam serangan ini diblokir oleh ACL berbasis UDP pada infrastruktur cloud. Vektor paket TCP 300-byte hanya menyumbang 10 Mbps, sementara trafik yang telah dibersihkan oleh cloud mencapai 1,14 Gbps dari total 1,5 Tbps trafik jahat. Berdasarkan data serangan ini, kita tidak bisa menarik banyak kesimpulan. Yang bisa kita katakan adalah serangan ini tidak membutuhkan algoritma perilaku yang rumit untuk mencegah trafik serangan tersebut. Hanya beberapa ACL saja sudah cukup untuk mengurangi sebagian besar trafik 1,5 Tbps tersebut. Tak mengherankan, sampel PCAP dari serangan tersebut juga tidak memberikan petunjuk mengenai siapa “penciptanya”.
Apakah Itu Aisuru?
Apakah ini serangan dari Aisuru? Mungkin saja. Tetapi bisa juga berasal dari botnet lain. Saat ini, banyak botnet yang mampu melampaui 1 Tbps dalam serangan mereka. Sebagai contoh, botnet Shadow dan Shadow V2 yang baru-baru ini dipublikasikan, menghasilkan trafik menggunakan Amazon EC2 yang dikompromikan. Botnet ini sangat canggih, dan dengan semakin mudahnya akses ke infrastruktur cloud serta meningkatnya bandwidth, kita bisa mengharapkan volume serangan rata-rata akan terus meningkat. Ketika AWS mengalami gangguan pada bulan Oktober, operator Shadow juga terdampak, sehingga mereka membuat Shadow V2 yang kemudian memperluas jejaknya dengan mencari perangkat IoT yang rentan. Cloud pertama, IoT sebagai cadangan—operator kriminal terus mengasah dan mendiversifikasi taktik mereka tahun demi tahun.
Serangan-serangan Aisuru yang memecahkan rekor, yang melampaui 10 Tbps, memang banyak diberitakan di media, dan biasanya hanya berlangsung selama satu hingga dua menit. Sementara itu, serangan yang terlihat dalam gambar di atas berlangsung 30 menit. Ini saja belum cukup untuk mengesampingkan Aisuru. Aisuru beroperasi sebagai layanan DDoS-for-Hire dengan klien yang terbatas. Serangan besar yang menghebohkan media kemungkinan besar diluncurkan langsung oleh operator botnet itu sendiri yang ingin memamerkan kapasitas penuh botnet mereka untuk mendapatkan iklan gratis. Sebaliknya, pelanggan yang menyewa layanan serangan mungkin tidak meminta atau membayar untuk seluruh kapasitas botnet. Para pelanggan ini hanya menerima sebagian dari botnet yang tersedia. Serangan yang berlangsung 60 detik biasanya tidak akan menimbulkan kerusakan signifikan pada reputasi target, sehingga serangan yang dipesan cenderung berlangsung lebih lama, mulai dari 30 menit hingga beberapa hari atau minggu.
Kesimpulan
Lalu, apakah itu Aisuru? Sayangnya, jawabannya adalah: “Saya tidak bisa memastikan.” Saya mohon maaf karena harus meninggalkan Anda dengan lebih banyak pertanyaan daripada jawaban, namun inilah kenyataan dari atribusi serangan DDoS.
Dunia cybersecurity sangat kompleks, dan atribusi DDoS adalah tantangan yang tak pernah sederhana. Serangan DDoS bisa datang dari berbagai sumber, dan meskipun kita memiliki teknologi yang semakin canggih untuk mendeteksi dan menganalisisnya, kita tidak selalu dapat mengidentifikasi siapa yang bertanggung jawab. Dalam banyak kasus, pencurian identitas, penggunaan infrastruktur pihak ketiga, serta taktik penyamaran lainnya membuat atribusi menjadi lebih rumit.
Yang jelas, meskipun kita ingin menuding pada Aisuru atau botnet lainnya, kita harus mengingat bahwa atribusi serangan DDoS lebih sering dilakukan dengan dugaan yang tereduksi daripada keyakinan yang pasti.
Siap untuk Langkah Selanjutnya? Rancang Strategi Identitas Modern Anda Hari Ini!
Jangan tunggu besok untuk masa depan yang lebih aman dan efisien. Ambil tindakan sekarang dan pastikan bisnis Anda siap menghadapi tantangan digital yang terus berkembang.
Jangan lewatkan kesempatan untuk:
- Menghubungi Radware Indonesia untuk mendapatkan informasi lengkap dan solusi terbaik.
- Konsultasi langsung dengan PT. iLogo Infralogy Indonesia, mitra terpercaya yang siap memahami dan memenuhi kebutuhan spesifik bisnis Anda.
