Ketika Modem Rumahan Diam-Diam Diretas: Kisah DNS Hijacking pada TP-LINK yang Mengubah Internet Menjadi Jebakan Malware

Di era internet modern, banyak orang berpikir bahwa ancaman siber hanya mengincar perusahaan besar, bank, atau lembaga pemerintahan. Padahal kenyataannya, perangkat sederhana yang ada di rumah seperti modem dan router juga menjadi target empuk para pelaku kejahatan siber.

Banyak pengguna merasa aman selama komputer mereka tidak terkena virus atau akun media sosial tidak dibobol. Namun ada satu ancaman yang sering luput dari perhatian: peretasan modem melalui teknik DNS Hijacking.

Artikel ini berangkat dari pengalaman nyata seorang pengguna internet rumahan yang mengalami kejadian aneh saat membuka situs populer seperti Google dan Facebook. Awalnya terlihat seperti gangguan biasa. Namun setelah ditelusuri lebih jauh, ternyata modem yang digunakan telah diretas dan digunakan untuk mengarahkan pengguna ke situs berbahaya.

Meskipun kasus ini pertama kali ramai dibicarakan bertahun-tahun lalu, metode serangan serupa masih terus digunakan hingga sekarang dengan berbagai variasi yang lebih canggih.

---

Ketika Google dan Facebook Tidak Lagi Mengarah ke Tujuannya

Semuanya berawal dari kejadian yang tampak sepele.

Saat membuka Google atau Facebook, halaman yang muncul bukanlah situs asli yang dituju. Sebaliknya, browser menampilkan halaman yang mengklaim bahwa pengguna harus melakukan pembaruan Flash Player.

Bagi sebagian orang, pesan seperti ini mungkin terlihat normal.

Lagi pula, selama bertahun-tahun Adobe Flash memang sering meminta pembaruan keamanan.

Namun ada sesuatu yang terasa janggal.

Ketika tombol "Install" ditekan, browser langsung mengunduh file berformat EXE.

Masalahnya, komputer yang digunakan saat itu menjalankan sistem operasi Linux.

Mengapa situs yang mengaku mendeteksi perangkat pengguna justru menawarkan file instalasi Windows?

Keanehan ini menjadi titik awal munculnya kecurigaan bahwa ada sesuatu yang tidak beres.

---

Gejala Awal yang Sering Diabaikan

Sebelum memahami bagaimana serangan ini bekerja, penting untuk mengenali tanda-tanda awalnya.

Banyak korban DNS Hijacking mengira mereka sedang mengalami:

• Gangguan internet biasa
• Kerusakan browser
• Virus pada komputer
• Masalah dari penyedia layanan internet
• Kesalahan konfigurasi jaringan

Padahal akar masalahnya berada di perangkat yang menghubungkan seluruh rumah ke internet, yaitu modem atau router.

Beberapa gejala umum meliputi:

1. Situs Populer Beralih ke Halaman Aneh

Saat mengetik alamat situs terkenal, pengguna diarahkan ke halaman lain yang tidak relevan.

Misalnya:

• Google berubah menjadi halaman iklan
• Facebook berubah menjadi halaman unduhan aplikasi
• YouTube dialihkan ke situs promosi tertentu

2. Muncul Permintaan Update Palsu

Pengguna sering melihat pesan seperti:

• Update Flash Player
• Update Browser
• Update Codec Video
• Update Antivirus

Padahal semua pesan tersebut palsu.

3. Internet Tetap Berfungsi Normal

Inilah yang membuat banyak korban tertipu.

Karena koneksi internet masih berjalan, mereka tidak menyangka bahwa perangkat jaringan mereka telah dikompromikan.

4. Semua Perangkat Mengalami Masalah yang Sama

Laptop, smartphone, tablet, dan komputer desktop sama-sama diarahkan ke situs yang salah.

Jika semua perangkat mengalami gejala identik, kemungkinan besar sumber masalah berada pada modem atau router.

---

Mengapa Reset Modem Sempat Menyelesaikan Masalah?

Pada kejadian pertama, solusi yang dilakukan cukup sederhana.

Karena halaman administrasi modem tidak dapat diakses, modem langsung di-reset ke pengaturan pabrik.

Ajaibnya, masalah langsung hilang.

Saat itu belum ada kecurigaan bahwa perangkat telah diretas.

Namun beberapa minggu kemudian kejadian yang sama terulang kembali.

Kali ini muncul pertanyaan besar:

Mengapa masalah yang sama bisa muncul lagi setelah modem di-reset?

Jawabannya mengarah pada kemungkinan bahwa kerentanan pada modem belum benar-benar ditutup.

Reset memang mengembalikan konfigurasi ke kondisi awal, tetapi tidak memperbaiki celah keamanan yang dimanfaatkan penyerang.

---

Apa Itu DNS dan Mengapa Sangat Penting?

Untuk memahami serangan ini, kita perlu mengenal DNS terlebih dahulu.

DNS atau Domain Name System sering disebut sebagai "buku telepon internet".

Ketika Anda mengetik:

google.com

Komputer sebenarnya tidak memahami nama tersebut.

Yang dipahami komputer adalah alamat IP, misalnya:

142.250.xxx.xxx

DNS bertugas menerjemahkan nama domain menjadi alamat IP yang benar.

Tanpa DNS, pengguna harus menghafal angka IP setiap kali ingin mengunjungi situs web.

---

Bagaimana DNS Hijacking Bekerja?

DNS Hijacking terjadi ketika penyerang berhasil mengubah pengaturan DNS pada modem atau router.

Akibatnya, setiap permintaan menuju situs tertentu akan dialihkan ke server yang dikendalikan oleh penyerang.

Prosesnya kira-kira seperti ini:

1. Pengguna mengetik Google.com.
2. Modem bertanya kepada server DNS.
3. DNS palsu memberikan alamat IP milik penyerang.
4. Browser membuka situs palsu.
5. Pengguna mengira situs tersebut asli.

Dalam banyak kasus, halaman palsu dirancang sangat mirip dengan halaman resmi sehingga korban tidak menyadari bahwa mereka sedang ditipu.

---

Kerentanan ROM-0 yang Pernah Menggemparkan Dunia Router

Salah satu penyebab populer dari serangan ini adalah celah keamanan yang berkaitan dengan file bernama ROM-0.

Pada beberapa modem dan router generasi lama, file konfigurasi internal dapat diakses tanpa autentikasi yang memadai.

File tersebut berisi berbagai informasi penting, termasuk:

• Username administrator
• Password administrator
• Konfigurasi jaringan
• Pengaturan DNS
• Parameter sistem lainnya

Jika file tersebut berhasil diambil oleh penyerang, mereka dapat memperoleh akses penuh ke perangkat.

Inilah yang membuat banyak perangkat rumahan menjadi sasaran empuk.

---

Mengapa Modem Menjadi Target Menarik?

Dari sudut pandang penjahat siber, meretas modem memiliki keuntungan besar.

Menyerang Banyak Perangkat Sekaligus

Jika satu komputer diretas, hanya satu korban yang terdampak.

Namun jika modem diretas:

• Laptop terkena
• Smartphone terkena
• Smart TV terkena
• Tablet terkena
• CCTV terkena

Semua perangkat yang menggunakan jaringan tersebut ikut terdampak.

Sulit Dideteksi

Banyak pengguna tidak pernah membuka halaman administrasi modem.

Selama internet masih berjalan, mereka menganggap semuanya baik-baik saja.

Dapat Digunakan untuk Menyebarkan Malware

Penyerang dapat menyisipkan:

• Malware
• Trojan
• Ransomware
• Spyware
• Keylogger

Melalui pengalihan situs palsu.

---

Mengapa Flash Player Menjadi Umpan Favorit?

Selama bertahun-tahun, Adobe Flash Player merupakan perangkat lunak yang sangat populer.

Karena sering membutuhkan pembaruan, pengguna terbiasa melihat notifikasi update.

Penjahat siber memanfaatkan kebiasaan ini.

Mereka membuat halaman palsu yang menampilkan pesan:

Your Flash Player is out of date.

Korban yang panik biasanya langsung menekan tombol download.

Padahal file yang diunduh sebenarnya berisi malware.

Walaupun Flash Player sendiri sudah dihentikan secara resmi sejak tahun 2020, konsep serangan serupa masih digunakan hingga kini.

Kini umpan yang sering digunakan antara lain:

• Update Browser
• Update Chrome
• Update Edge
• Update Security Patch
• Update Media Codec
• Update PDF Reader

---

Mengapa Pengguna Linux Justru Menyadari Serangan?

Dalam kasus ini, pengguna menggunakan Linux.

Saat situs palsu menawarkan file EXE, muncul pertanyaan logis:

Mengapa sistem Linux diberi installer Windows?

Keanehan inilah yang membuka mata bahwa ada sesuatu yang tidak normal.

Ironisnya, banyak pengguna Windows justru tidak menyadari serangan tersebut karena file EXE terlihat sesuai dengan sistem operasi mereka.

Inilah sebabnya mengapa kesadaran keamanan siber sering kali lebih penting daripada teknologi yang digunakan.

---

Teknik Pengamanan yang Dicoba

Setelah menelusuri berbagai referensi dan diskusi teknis, ditemukan beberapa pendekatan untuk mengurangi risiko eksploitasi.

Salah satu metode adalah mengubah konfigurasi Virtual Server sehingga akses tertentu tidak lagi mengarah ke halaman administrasi modem.

Namun setelah pengujian dilakukan, file ROM-0 ternyata masih dapat diakses melalui jalur tertentu.

Artinya solusi tersebut belum sepenuhnya efektif.

Karena itu dilakukan pendekatan lain menggunakan fitur Access Control List (ACL).

ACL memungkinkan administrator menentukan siapa saja yang boleh mengakses layanan tertentu pada modem.

Dengan membatasi akses dari jaringan luar, risiko eksploitasi dapat dikurangi secara signifikan.

Setelah konfigurasi diterapkan, file ROM-0 tidak lagi dapat diakses dari internet publik.

Meskipun demikian, keamanan tidak pernah bersifat absolut.

Konfigurasi yang aman hari ini belum tentu aman selamanya.

---

Pelajaran Penting dari Kasus Ini

Pengalaman ini memberikan beberapa pelajaran berharga bagi pengguna internet rumahan.

Jangan Langsung Menyalahkan ISP

Ketika terjadi pengalihan situs, banyak orang langsung menuduh penyedia internet.

Padahal masalah bisa berasal dari perangkat milik sendiri.

Periksa DNS Secara Berkala

Pastikan DNS yang digunakan berasal dari penyedia terpercaya.

Jika tiba-tiba berubah tanpa sepengetahuan Anda, itu bisa menjadi tanda kompromi.

Ganti Password Default

Banyak modem masih menggunakan kombinasi:

• admin/admin
• admin/password
• admin123

Password seperti ini sangat mudah ditebak.

Matikan Remote Management

Jika tidak diperlukan, nonaktifkan akses administrasi dari internet.

Langkah sederhana ini dapat mengurangi permukaan serangan secara drastis.

Perbarui Firmware

Vendor sering merilis pembaruan keamanan untuk menutup celah yang telah ditemukan.

Firmware lama adalah salah satu penyebab utama perangkat mudah diretas.

---

Ancaman yang Masih Relevan Hingga Sekarang

Meskipun kisah ini berasal dari perangkat generasi lama, prinsip serangannya masih sangat relevan.

Saat ini penyerang tidak hanya membidik modem rumah tangga.

Mereka juga mengincar:

• Router kantor
• Access Point publik
• Perangkat IoT
• Kamera CCTV
• NAS Storage
• Smart Home Device

Bahkan banyak serangan modern memanfaatkan kombinasi:

• Password lemah
• Firmware usang
• Port terbuka
• Salah konfigurasi DNS

Dengan kata lain, ancaman yang sama hanya berganti bentuk.

---

Cara Mengecek Apakah Router Anda Aman

Berikut beberapa langkah sederhana yang dapat dilakukan.

Periksa DNS

Bandingkan pengaturan DNS dengan DNS resmi yang Anda gunakan.

Contohnya:

• Google DNS
• Cloudflare DNS
• DNS ISP resmi

Cek Firmware

Pastikan perangkat menjalankan versi terbaru.

Periksa Log Sistem

Banyak router modern menyediakan catatan aktivitas login.

Cari aktivitas mencurigakan.

Ubah Password Administrator

Gunakan password yang panjang dan unik.

Minimal:

• 12 karakter
• Huruf besar
• Huruf kecil
• Angka
• Simbol

Nonaktifkan Fitur yang Tidak Digunakan

Misalnya:

• Remote Management
• UPnP
• Telnet
• FTP

Jika memang tidak diperlukan.

---

Kesimpulan

Kasus DNS Hijacking pada modem rumahan menunjukkan bahwa ancaman siber tidak selalu menyerang komputer secara langsung. Kadang-kadang pintu masuknya justru berasal dari perangkat yang jarang diperhatikan, yaitu modem atau router.

Gejala sederhana seperti munculnya halaman "Update Flash Player" palsu saat membuka Google atau Facebook ternyata dapat menjadi indikator bahwa konfigurasi jaringan telah dimanipulasi oleh pihak yang tidak bertanggung jawab. Melalui perubahan DNS dan eksploitasi kerentanan perangkat, penyerang mampu mengendalikan lalu lintas internet korban tanpa disadari.

Pelajaran terbesar dari pengalaman ini adalah bahwa keamanan siber tidak hanya tentang memasang antivirus atau menjaga password akun media sosial. Keamanan juga mencakup perangkat jaringan yang menjadi gerbang utama menuju internet.

Sebuah modem yang tampak bekerja normal belum tentu benar-benar aman. Internet mungkin tetap berjalan lancar, tetapi di balik layar, seluruh aktivitas online bisa saja sedang diarahkan ke jalur yang telah dipersiapkan oleh penyerang.

Karena itu, luangkan waktu untuk memeriksa konfigurasi router, memperbarui firmware, mengganti password bawaan, dan menonaktifkan layanan yang tidak diperlukan. Langkah-langkah sederhana tersebut sering kali menjadi perbedaan antara jaringan yang aman dan jaringan yang diam-diam telah berada di bawah kendali orang lain.

Di dunia digital saat ini, kewaspadaan bukan lagi pilihan, melainkan kebutuhan. Sebab terkadang ancaman terbesar bukanlah hacker yang terlihat jelas, melainkan perangkat yang tampak baik-baik saja namun diam-diam telah disusupi.

Mungkin tulisan ini out-todate. Kasus aslinya sudah ada tahun 2013, tapi dua dan tiga minggu yg lalu saya baru mengalami.

Pada saat kejadian pertama, saya belum sadar jika modem TP-LINK saya ke-hack. Karena saat saya coba masuk admin web modem tidak bisa, langsung saya RESET. Masalah hilang.

Pada saat kejadian kedua, curiga ada yg tidak beres dengan modem. Awalnya curiganya pada Speedy, tapi googling (dg HP) 'speedy dns hijack' tidak ada petunjuk. Malah mengarah ke TP-LINK, merk modem yg saya pakai.

Tanda-2 modem ke-hack adalah, saat buka google.com atau facebook.com, yg muncul bukannya halaman yg dimaksud melainkan halaman "Update Flashplayer". Saat klik Install maupun Remaind me Later, sama-sama download file EXE. Lha dalah! Dan...  Klo update flashplayer kan biasanya detek OS client, wong saya pake Linux koq dikasih EXE. Dari sinilah kecurigaan dimulai.

[caption id="attachment_565" align="aligncenter" width="480"] Sumber: http://www.kaskus.co.id/thread/53211325a1cb17714b8b45b0/ask-kena-virus-malware-fake-flash-player-update[/caption]

Sudah banyak yg membahas hal ini. Bagaimana bisa terjadi bisa dilihat di sini, intinya karena file rom-0 modem bisa diakses pihak lain, tanpa password dan seting DNS Server telah diubah. Di blog rootatnasro tsb, saran untuk menghindarinya adalah dengan mengarahkan port 80 ke IP yg tidak digunakan dg pengaturan Virtual Server (menu: Advanced Setup > NAT > {pilih Virtual Circuit} > Virtual Server)

Namun setelah saya coba untuk modem TD-W8901G saya, rom-0 modem masih bisa diakses dari http://ipeksternalsaya:8080/rom-0

Kemudia saya coba dengan pengaturan ACL (menu: Access Management > ACL) seperti gambar di bawah, hasilnya file rom-0 modem tidak dibisa dikases dari ipeksternalsaya, baik dengan port 80 maupun port 8080.



Untuk sementara saya bisa bernafas lega.... :)

* Jika cara di atas ternyata tidak manjur, tolong kabari saya... :D