ItWorks- Selama ini ada anggapan Linux bebas malware” – setidaknya itulah yang diyakini banyak orang selama bertahun-tahun. Namun, waktu telah berubah, seiring meningkatnya penggunaan sistem berbasis Linux di beberapa area, hal ini juga telah meningkhatkan perhatian para aktor kejahatan siber untuk melakukan serangan pada sistem ini.
Di tengah wabah pandemi covid-19, banyak pekerja tak berada di kantor atau melakukan WFH yang juga menjadi perhatian para penjahat siber untuk melakukan aksinya. Dengan WFH, sistem jaringan dan kekayaan intelektual tetap berada di pusat data atau server perusahaan yang sebagian besar berjalan di Linux.
Terdapat tren signifikan di banyak negara yang menggunakan Linux sebagai ruang lingkup desktop, terutama di berbagai perusahan besar, serta entitas pemerintahan, sehingga mendorong actor ancaman untuk mengembangkan malware yang menargetkan platform ini. Mitos bahwa Linux, sebagai system operasi yang kurang popular dan tidak berpotensi menjadi sasaran malware, mengundang risiko keamanan siber tambahan.
Walaupun Linux mungkin tidak memiliki visibilitas seperti yang dimiliki oleh sistem operasi front-office lain, namun beberapa organisasi besar mengandalkan Linux untuk mendukung operasoinal sistem IT. Seperti untuk menjalankan situs web, lalu lintas jaringan proxy, hingga menyimpan data yang berharga.
Banyak organisasi memilih Linux sebagai server dan system penting secara strategis, paling tidak karena system operasi ini dianggap lebih aman dan tidak terlalu rentan terhadap ancaman siber dibandingkan sistem operasi Windows yang jauh lebih populer. Seperti untuk menjalankan situs web, lalu lintas jaringan proxy, hingga menyimpan data yang berharga.
Hal ini rupanya juga menjadi target penjahat siber, di mana riset dari pakar Kaspersky menemukan, bahwa sebagian besar grup penyerang saat ini juga sangat tertarik menyasar target pada sistem Linux ini. Bahkan bukan sekadar kasus serangan malware massal, namun lebih bersifat ancaman persisten tingkat lanjut (APT).
Ancaman persisten tingkat lanjut ( APT ) merupakan aktor ancaman tersembunyi, biasanya grup yang disponsori untuk melakukan intrusi berskala besar yang ditargetkan untuk tujuan tertentu. Motivasi pelaku ancaman tersebut bisa bersifat politik atau ekonomi. Kejadian serangan dunia maya yang dilakukan oleh aktor tingkat lanjut bertujuan untuk mencuri, memata-matai, atau mengganggu. Sektor-sektornya bisa meliputi pemerintahan, pertahanan , jasa keuangan , jasa hukum , industri, telekomunikasi , barang konsumsi dan banyak lagi.
Para peneliti Kaspersky telah mengidentifikasi tren di mana semakin banyak aktor ancaman APT melakukan serangan yang ditargetkan terhadap perangkat berbasis Linux sembari mengembangkan lebih banyak alat yang berfokus pada Linux. “Tren pengembangan perangkat APT telah diidentifikasi oleh para ahli kami secara terus menerus di masa lalu, dan tidak terkecuali alat yang berfokus pada Linux. Kami menyarankan para pakar keamanan siber untuk mewaspadai dan memantau tren ini, serta menerapkan tindakan tambahan demi melindungi server dan workstation mereka,”- komentar Yury Namestnikov, Head of Kaspersky’s Global Research and Analysis Team (GReAT) Kaspersky di Rusia.
Disebutkan, selama delapan tahun terakhir, lebih dari selusin aktor APT yang diamati telah menggunakan malware Linux atau beberapa modul berbasis Linux. Ini termasuk kelompok ancaman terkenal seperti Barium, Sofacy, Lamberts, dan Equation, serta kampanye lebih baru seperti, LightSpy oleh TwoSail Junk dan WellMess.
Diversifikasi persenjataan mereka dengan alat Linux, memungkinkan aktor ancaman untuk melakukan operasi secara lebih efektif dengan jangkauan lebih luas. Meskipun serangan yang ditargetkan pada sistem berbasis Linux masih jarang terjadi, terdapat malware yang dirancang untuk mereka – termasuk webshell, backdoors, rootkit, dan bahkan eksploitasi yang diciptakan secara khusus.
Selain itu, sejumlah kecil serangan menyesatkan akibat keberhasilan kompromi dari server yang menjalankan Linux sering kali mengakibatkan konsekuensi signifikan. Ini termasuk para aktor ancaman tidak hanya dapat mengakses perangkat yang terinfeksi, tetapi juga titik akhir yang menjalankan Windows atau macOS, sehingga memberikan akses lebih luas kepada mereka dan mungkin tidak terdeteksi.
Sebagai contoh, Turla – grup produktif berbahasa Rusia yang terkenal karena taktik eksfiltrasi terselubungnya – telah mengubah perangkatnya secara signifikan selama bertahun-tahun, termasuk penggunaan backdoor Linux. Modifikasi baru dari backdoor Penguin_x64 Linux, yang dilaporkan awal tahun 2020.”Menurut telemetri kami, telah menginfeksi lusinan server di Eropa dan Amerika Serikat, baru-baru ini pada Juli 2020,” ujarnya.
Contoh lainnya adalah Lazarus, grup APT berbahasa Korea, yang terus mendiversifikasi perangkatnya dan mengembangkan malware non-Windows. Kaspersky baru-baru ini melaporkan kerangka kerja multi-platform yang disebut MATA dan pada Juni 2020, para peneliti menganalisis sampel baru yang berhubungan dengan kampanye Lazarus ‘Operation AppleJeus’ dan ‘TangoDaiwbo’, yang digunakan dalam serangan financial dan spionase. Salah satu sampel yang dipelajari termasuk malware Linux.
Guna menghindari menjadi korban serangan yang ditargetkan pada Linux oleh para actor ancaman, peneliti Kaspersky di antaranya merekomendasikan untuk menerapkan langkah-langkah berikut:
• Mengelola daftar sumber perangkat lunak tepercaya dengan baik dan hindari menggunakan saluran pembaruan yang tidak terenkripsi.
• Tidak menjalankan binary dan skrip dari sumber yang tidak tepercaya.
• Melakukan prosedur pembaruan sistem keamanan otomatis
• Meluangkan waktu untuk menyiapkan firewall dengan tepat: pastikan firewall mencatat aktivitas jaringan, memblokir semua port yang tidak digunakan, dan meminimalkan jejak jaringan.
• Gunakan otentikasi SSH berbasis kunci dan lindungi kunci dengan sandi yang aman
• Gunakan 2FA (otentikasi dua faktor) dan simpan kunci sensitive pada perangkat token eksternal (mis. Yubikey)
• Gunakan ketuk jaringan out-of-band untuk secar aman diri memantau dan menganalisis komunikasi jaringan sistem Linux Anda
• Menjaga integritas file sistem yang dapat dieksekusi dan meninjau perubahan file konfigurasi secara teratur
• Bersiaplah untuk serangan orang dalam/fisik: gunakan full-disk enkripsi, boots aman dan tepercaya, serta letakkan pita keamanan tamper-evident pada perangkat keras yang digunakan.
• Rutin melakukan audit system dan periksa log untuk indicator serangan
• Jalankan uji penetrasi pada konfigurasi Linux yang digunakan.
• Menggunakan solusi keamanan khusus dengan perlindungan Linux sepert iIntegrated Endpoint Security. Ini akan memberikan perlindungan web dan jaringan untuk mendeteksi phishing, situs web berbahaya dan serangan jaringan serta control perangkat. Upaya ini juga memungkinkan pengguna untuk menentukan aturan dan mentransfer data keperangkat lain.
Untuk membaca secara lengkap tentang serangan APT Linux dan rangkuman mendalam mengenaik rekomendasi keamanan dapat di akses di Securelist.com. (AC)