Banyak organisasi di banyak negara memilih Linux sebagai fondasi bagi server dan sistem yang bersifat strategis. Fakta ini memancing aktor APT untuk membuat malware yang membidik sistem operasi ini.
Banyak organisasi memilih Linux, paling tidak karena sistem operasi ini dianggap lebih aman dan tidak terlalu rentan terhadap ancaman siber dibandingkan sistem operasi Windows yang jauh lebih populer. Memang alasan itu terkait kasus serangan malware massal, tapi, tidak demikian dalam kasus Advanced Persistent Threat (APT).
Para peneliti Kaspersky juga mengidentifikasi tren di mana semakin banyak aktor ancaman melakukan serangan yang khusus membidik perangkat berbasis Linux selagi mereka juga mengembangkan lebih banyak tools yang berfokus pada Linux.
Selama delapan tahun terakhir, lebih dari selusin aktor APT yang diamati telah menggunakan malware Linux atau beberapa modul berbasis Linux. Di antara threat group yang memanfaatkan kelemahan Linux adalah Barium, Sofacy, Lamberts, dan Equation. Ada pula kampanye terbaru seperti, LightSpy oleh TwoSail Junk dan WellMess. Arsenal yang lebih beragam dengan tool Linux, memungkinkan para aktor ancaman ini melakukan operasi secara lebih efektif dengan jangkauan lebih luas.
Kaspersky melihat tren yang cukup signifikan di banyak negara di mana perusahan besar dan kantor pemerintahan yang menggunakan Linux sebagai lingkungan desktop-nga. Hal ini mendorong para aktor ancaman untuk mengembangkan malware yang menyasar platform ini. Dan adanya mitos yang menyatakan bahwa Linux adalah sistem operasi yang kurang populer dan tidak berpotensi menjadi sasaran malware justru mengundang risiko keamanan siber.
Meskipun serangan yang menyasar sistem berbasis Linux masih terbilang jarang terjadi, ada malware yang dirancang khusus untuk Linux, seperti webshell, backdoors, rootkit, dan bahkan eksploitasi yang diciptakan secara khusus.
Selain itu, sejumlah kecil serangan yang dianggap sebagai serangan yang sukses membahayakan server Linux sering kali mengakibatkan konsekuensi signifikan. Para penjahat maya ini tidak saja. Isa mengakses perangkat yang terinfeksi tapi juga bisa menyerang perangkat endpoint berbasis Windows atau macOS, sehingga penyerang memperoleh akses lebih luas, tanpa terdeteksi.
Turla, kelompok APT yang menggunakan bahasa Rusia inj terkenal karena taktik eksfiltrasi terselubungnya. Mereka telah mengubah perangkatnya secara signifikan selama bertahun-tahun, termasuk penggunaan backdoor Linux. Modifikasi baru dari backdoor Penguin_x64 Linux, yang dilaporkan awal tahun 2020, menurut telemetri Kaspersky telah menginfeksi banyak server di Eropa dan Amerika Serikat, baru-baru ini pada Juli 2020.
Contoh lainnya adalah Lazarus, grup APT berbahasa Korea, yang terus mendiversifikasi perangkatnya dan mengembangkan malware non-Windows. Kaspersky baru-baru ini melaporkan kerangka kerja multi-platform yang disebut MATA. Pada Juni 2020, para peneliti menganalisis sampel baru yang berhubungan dengan kampanye Lazarus 'Operation AppleJeus' dan 'TangoDaiwbo', yang digunakan dalam serangan finansial dan spionase. Salah satu sampel yang dipelajari termasuk malware Linux.
“Tren pengembangan perangkat APT telah diidentifikasi oleh para ahli kami secara terus menerus di masa lalu, dan tidak terkecuali alat yang berfokus pada Linux. Dengan tujuan untuk mengamankan sistem mereka, departemen TI dan keamanan lebih sering menggunakan Linux secara umum. Hal ini tentunya direspon oleh para aktor ancaman dengan cara menciptakan alat-alat canggih yang mampu menembus sistem tersebut. Kami menyarankan para pakar keamanan siber untuk mewaspadai dan memantau tren ini, serta menerapkan tindakan tambahan demi melindungi server dan workstation mereka," komentar Yury Namestnikov, head of Kaspersky’s Global Research and Analysis Team (GReAT) Kaspersky Rusia.
Untuk menghindari menjadi korban serangan yang ditargetkan pada Linux oleh para aktor ancaman, peneliti Kaspersky merekomendasikan untuk menerapkan langkah-langkah berikut:
- Mengelola daftar sumber perangkat lunak terpercaya (trusted software sources) dengan baik dan hindari menggunakan saluran pembaruan yang tidak terenkripsi
- Jangan menjalankan binari dan skrip dari sumber-sumber yang tidak tepercaya. Ajakan menginstalasi program dengan perintah seperti "curl https://install-url | sudo bash” merupakan mimpi buruk yang tidak ingin Anda hadapi.
- Pastikan prosedur pembaruan Anda efektif dan atur untuk pembaruan keamanan otomatis
- Meluangkan waktu untuk menyiapkan firewall dengan tepat: pastikan firewall mencatat aktivitas jaringan, memblokir semua port yang tidak Anda gunakan, dan meminimalkan jejak jaringan.
- Gunakan otentikasi SSH berbasis kunci dan lindungi kunci dengan sandi
- Gunakan 2FA (otentikasi dua faktor) dan simpan kunci sensitif pada perangkat token eksternal (mis. Yubikey)
- Gunakan out-of-band network tap untuk secara mandiri memantau dan menganalisis komunikasi jaringan sistem Linux Anda
- Menjaga integritas file sistem yang dapat dieksekusi dan meninjau perubahan file konfigurasi secara teratur
- Bersiaplah untuk serangan orang dalam/fisik: gunakan full-disk enkripsi, boots aman dan tepercaya, serta letakkan pita keamanan tamper-evident pada perangkat keras penting Anda
- Rutin melakukan audit sistem dan periksa log untuk indikator serangan
- Jalankan uji penetrasi pada konfigurasi Linux Anda
- Gunakan solusi keamanan khusus dengan perlindungan Linux seperti Integrated Endpoint Security. Ini akan memberikan perlindungan web dan jaringan untuk mendeteksi phishing, situs web berbahaya dan serangan jaringan serta kontrol perangkat. Upaya ini juga memungkinkan pengguna untuk menentukan aturan dan mentransfer data ke perangkat lain.
- Kaspersky Hybrid Cloud Security menerapkan perlindungan untuk DevOps, memungkinkan integrasi keamanan ke dalam wadah dan platform CI/CD, dan pemindaian gambar terhadap serangan rantai pasokan