Technologue.id, Jakarta - Banyak organisasi memilih Linux sebagai server dan sistem penting secara strategis, paling tidak karena sistem operasi ini dianggap lebih aman dan tidak terlalu rentan terhadap ancaman siber dibandingkan sistem operasi Windows yang jauh lebih populer. Meskipun ini adalah kasus serangan malware massal, tidak demikian dalam hal ancaman persisten tingkat lanjut (APT). Selain itu, para peneliti Kaspersky telah mengidentifikasi tren di mana semakin banyak aktor ancaman melakukan serangan yang ditargetkan terhadap perangkat berbasis Linux sembari mengembangkan lebih banyak alat yang juga berfokus pada Linux.
Selama delapan tahun terakhir, lebih dari selusin aktor APT yang diamati telah menggunakan malware Linux atau beberapa modul berbasis Linux. Ini termasuk kelompok ancaman terkenal seperti Barium, Sofacy, Lamberts, dan Equation, serta kampanye lebih baru seperti, LightSpy oleh TwoSail Junk dan WellMess. Diversifikasi persenjataan mereka dengan alat Linux, memungkinkan aktor ancaman untuk melakukan operasi secara lebih efektif dengan jangkauan lebih luas.
Terdapat tren signifikan di banyak negara yang menggunakan Linux sebagai ruang lingkup desktop, terutama di berbagai perusahan besar, serta entitas pemerintahan, sehingga mendorong aktor ancaman untuk mengembangkan malware yang menargetkan platform ini. Mitos bahwa Linux, sebagai sistem operasi yang kurang populer dan tidak berpotensi menjadi sasaran malware, mengundang risiko keamanan siber tambahan.
Meskipun serangan yang ditargetkan pada sistem berbasis Linux masih jarang terjadi, terdapat malware yang dirancang untuk mereka termasuk webshell, backdoors, rootkit, dan bahkan eksploitasi yang diciptakan secara khusus. Selain itu, sejumlah kecil serangan menyesatkan akibat keberhasilan kompromi dari server yang menjalankan Linux sering kali mengakibatkan konsekuensi signifikan. Ini termasuk para aktor ancaman tidak hanya dapat mengakses perangkat yang terinfeksi, tetapi juga titik akhir yang menjalankan Windows atau macOS, sehingga memberikan akses lebih luas kepada mereka dan mungkin tidak terdeteksi.
Sebagai contoh, Turla - grup produktif berbahasa Rusia yang terkenal karena taktik eksfiltrasi terselubungnya - telah mengubah perangkatnya secara signifikan selama bertahun-tahun, termasuk penggunaan backdoor Linux. Modifikasi baru dari backdoor Penguin_x64 Linux, yang dilaporkan awal tahun 2020, menurut telemetri kami, telah menginfeksi lusinan server di Eropa dan Amerika Serikat, baru-baru ini pada Juli 2020.
Contoh lainnya adalah Lazarus, grup APT berbahasa Korea, yang terus mendiversifikasi perangkatnya dan mengembangkan malware non-Windows. Kaspersky baru-baru ini melaporkan kerangka kerja multi-platform yang disebut MATA dan pada Juni 2020, para peneliti menganalisis sampel baru yang berhubungan dengan kampanye Lazarus 'Operation AppleJeus' dan 'TangoDaiwbo', yang digunakan dalam serangan finansial dan spionase. Salah satu sampel yang dipelajari termasuk malware Linux.
"Tren pengembangan perangkat APT telah diidentifikasi oleh para ahli kami secara terus menerus di masa lalu, dan tidak terkecuali alat yang berfokus pada Linux. Dengan tujuan untuk mengamankan sistem mereka, departemen TI dan keamanan lebih sering menggunakan Linux secara umum. Hal ini tentunya direspon oleh para aktor ancaman dengan cara menciptakan alat-alat canggih yang mampu menembus sistem tersebut. Kami menyarankan para pakar keamanan siber untuk mewaspadai dan memantau tren ini, serta menerapkan tindakan tambahan demi melindungi server dan workstation mereka," komentar Yury Namestnikov, head of Kaspersky’s Global Research and Analysis Team (GReAT) Kaspersky di Rusia.
Untuk menghindari menjadi korban serangan yang ditargetkan pada Linux oleh para aktor ancaman, peneliti Kaspersky merekomendasikan untuk menerapkan langkah-langkah berikut:
- Mengelola daftar sumber perangkat lunak tepercaya dengan baik dan hindari menggunakan saluran pembaruan yang tidak terenkripsi
- Jangan menjalankan binari dan skrip dari sumber yang tidak tepercaya. Cara yang diiklankan secara luas untuk menginstal program dengan perintah seperti "curl https://install-url | sudo bash" merupakan mimpi buruk yang tidak ingin Anda hadapi.
- Pastikan prosedur pembaruan Anda efektif dan atur untuk pembaruan keamanan otomatis
- Meluangkan waktu untuk menyiapkan firewall dengan tepat: pastikan firewall mencatat aktivitas jaringan, memblokir semua port yang tidak Anda gunakan, dan meminimalkan jejak jaringan.
- Gunakan otentikasi SSH berbasis kunci dan lindungi kunci dengan sandi
- Gunakan 2FA (otentikasi dua faktor) dan simpan kunci sensitif pada perangkat token eksternal (mis. Yubikey)
- Gunakan ketuk jaringan out-of-band untuk secara mandiri memantau dan menganalisis komunikasi jaringan sistem Linux Anda
- Menjaga integritas file sistem yang dapat dieksekusi dan meninjau perubahan file konfigurasi secara teratur
- Bersiaplah untuk serangan orang dalam/fisik: gunakan full-disk enkripsi, boots aman dan tepercaya, serta letakkan pita keamanan tamper-evident pada perangkat keras penting Anda
- Rutin melakukan audit sistem dan periksa log untuk indikator serangan
- Jalankan uji penetrasi pada konfigurasi Linux Anda
- Gunakan solusi keamanan khusus dengan perlindungan Linux seperti Integrated Endpoint Security. Ini akan memberikan perlindungan web dan jaringan untuk mendeteksi phishing, situs web berbahaya dan serangan jaringan serta kontrol perangkat. Upaya ini juga memungkinkan pengguna untuk menentukan aturan dan mentransfer data ke perangkat lain.
- Kaspersky Hybrid Cloud Security menerapkan perlindungan untuk DevOps, memungkinkan integrasi keamanan ke dalam wadah dan platform CI/CD, dan pemindaian gambar terhadap serangan rantai pasokan
Untuk membaca secara lengkap tentang serangan APT Linux dan rangkuman mendalam mengenaik rekomendasi keamanan dapat di akses di Securelist.com.