Malware “Plague” - Ancaman Backdoor Linux Baru yang Menyasar PAM

Sebuah ancaman siber terbaru kembali terdeteksi di dunia Linux, yakni malware berbahaya bernama “Plague” yang memanfaatkan celah di framework autentikasi sistem Linux, khususnya Pluggable Authentication Modules (PAM). Malware ini telah dianggap sangat kritis karena mampu memberikan akses backdoor SSH secara tersembunyi dan persisten kepada penyerang, tanpa terdeteksi oleh sistem keamanan standar.

Bagaimana “Plague” Bekerja?

Plague bekerja dengan memasukkan shared object berbahaya ke jalur autentikasi PAM. Dengan cara ini, penyerang bisa mendapatkan akses ke sistem lewat SSH menggunakan password khusus yang telah diprogram dalam malware. Engine malware ini khusus menargetkan distribusi populer seperti Debian, Ubuntu, dan Red Hat.

Lebih canggih lagi, Plague memiliki teknik enkripsi string berlapis – mulai dari XOR, RC4-like Key Scheduling, hingga modul Deterministic Random Bit Generator (DRBG) – yang tujuannya adalah mempersulit analisis dan deteksi secara statis oleh antivirus. Ia juga mampu menjalankan pengecekan anti-debug, memverifikasi nama file hingga membersihkan jejak digital, misalnya dengan menghapus riwayat terminal (history) dan menulis ulang variabel lingkungan SSH ke /dev/null. Dengan demikian, aktifitas penyerang sulit terlacak.

Dampak Potensial dan Risiko

Plague mengincar inti sistem autentikasi Linux, sehingga ia mampu mengumpulkan kredensial pengguna dan mempertahankan akses jangka panjang tanpa terdeteksi. Konsekuensinya sangat gawat: penyusupan dan pengambilalihan sistem, pencurian data sensitif, risiko spionase, sabotase, hingga potensi kerugian operasional besar untuk institusi dengan kebutuhan keamanan tinggi.

Malware ini sangat berbahaya karena mampu menyusup dengan cara tersembunyi, bahkan tidak terdeteksi banyak antivirus. Ia juga tetap bertahan meskipun sistem dilakukan update atau patching, karena menempel di proses fundamental sistem operasi Linux.

Bagaimana Aksinya di Lingkungan Customer?

Berdasarkan advisory yang dikirim oleh tim SOC as a Service (MXDR), seluruh indikator kompromi (IoC) dari malware “Plague” telah dicek pada lingkungan endpoint customer. Hasilnya, tidak ditemukan adanya kecocokan (not matched) pada endpoint mana pun hingga laporan ini disusun (gambar terlampir). Ini menandakan seluruh sistem masih dalam keadaan aman dari paparan malware ini, namun vigilance dan monitoring harus tetap ditingkatkan.

Rekomendasi Pencegahan

• Lakukan audit dan pemantauan berkala pada modul PAM di setiap server Linux.

• Perketat pembaruan (update/patch) dan validasi keaslian semua file library di folder terkait (/etc/pam.d/).

• Terapkan monitoring perubahan sistem, termasuk implementasi checksum atau alert ketika ada perubahan library penting.

• Selalu edukasi tim IT tentang teknik malware modern, khususnya yang menyerang sistem autentikasi seperti PAM.

• Segera konsultasikan ke tim CSIRT jika mendeteksi perubahan perilaku login ataupun anomali pada proses autentikasi.

Waspada! Ancaman malware pada sistem Linux kini semakin canggih dan menyasar lapisan paling sensitif sistem operasi. Jangan sampai pertahanan Anda jebol!

Sumber Referensi: https://cybersecuritynews.com/plague-malware-attacking-linux-servers/