Image credit: Freepix
Indonesia dalam Ancaman Serangan ShadowGuard – Dunia keamanan siber internasional baru-baru ini dikejutkan oleh pengungkapan sebuah kampanye spionase siber berskala global yang dijuluki sebagai “Shadow Campaigns”.
Operasi ini dikendalikan oleh kelompok ancaman yang didukung oleh negara (state-sponsored) dan telah berhasil menyusup ke puluhan jaringan entitas pemerintah serta infrastruktur kritis di setidaknya 37 negara.
Berdasarkan pengamatan para peneliti, kelompok ini diyakini beroperasi dari wilayah Asia dan telah aktif setidaknya sejak Januari 2024.
Operasi ini bukan sekadar serangan peretasan biasa. Ini adalah kampanye intelijen yang sangat terorganisir dan memiliki target strategis yang sangat spesifik.
Antara November dan Desember tahun lalu saja, kelompok ini terdeteksi melakukan aktivitas pengintaian (reconnaissance) yang menargetkan entitas pemerintah yang terhubung ke 155 negara.
Hal ini menunjukkan ambisi dan jangkauan operasional yang luar biasa luas.
Target Strategis dan Jangkauan Global
Aktivitas “Shadow Campaigns” berfokus pada sektor-sektor yang menjadi pilar kedaulatan sebuah negara, termasuk kementerian pemerintah, penegak hukum, kontrol perbatasan, keuangan, perdagangan, energi, pertambangan, imigrasi, dan badan diplomatik.
Para peneliti mengonfirmasi bahwa serangan ini berhasil mengompromikan sedikitnya 70 organisasi pemerintah dan infrastruktur kritis di seluruh dunia.
Beberapa target spesifik yang mencolok meliputi:
- Amerika: Organisasi yang menangani kebijakan perdagangan, isu geopolitik, dan pemilu.
- Eropa: Kementerian dan parlemen di beberapa negara anggota Uni Eropa.
- Australia: Departemen Keuangan.
- Asia: Pemerintah dan infrastruktur kritis di Taiwan, Mongolia, Thailand, Malaysia, dan Indonesia.
Penyebaran target ini tampaknya didorong oleh peristiwa politik tertentu. Sebagai contoh, selama masa government shutdown di Amerika Serikat pada Oktober 2025, kelompok ini menunjukkan peningkatan aktivitas pemindaian di wilayah Amerika Utara dan Tengah.
Selain itu, pengintaian besar-besaran terhadap infrastruktur pemerintah Honduras terjadi hanya 30 hari sebelum pemilihan nasional mereka, yang berkaitan erat dengan isu hubungan diplomatik negara tersebut.
|
Baca juga: Taktik 48 Menit Melawan Hacker |
Rantai Serangan dan Eksploitasi
Para peneliti menemukan bahwa kelompok ini menggunakan rantai serangan yang sangat matang secara operasional. Pada tahap awal, mereka mengandalkan email phising yang dirancang sangat khusus (spear-phishing) untuk pejabat pemerintah.
Umpan yang digunakan biasanya mereferensikan upaya reorganisasi internal kementerian guna meningkatkan kemungkinan korban membuka tautan berbahaya.
Email tersebut berisi tautan ke arsip berbahaya yang di-host di layanan penyimpanan Mega.nz. File kompresi tersebut berisi pemuat malware (loader) yang disebut Diaoyu.
Menariknya, malware ini memiliki mekanisme pengecekan integritas yang unik: ia mencari file gambar PNG berukuran nol bita bernama pic1.png. Jika file tersebut tidak ditemukan, malware akan berhenti bekerja untuk menghindari analisis oleh peneliti keamanan.
Selain phising, kelompok ini sangat agresif mengeksploitasi sedikitnya 15 kerentanan keamanan yang telah diketahui (known vulnerabilities) pada produk populer seperti:
- SAP Solution Manager
- Microsoft Exchange Server
- Perangkat jaringan D-Link
- Sistem operasi Microsoft Windows
Setelah berhasil masuk, mereka menyebarkan berbagai alat seperti webshell (Behinder, Godzilla) dan alat tunneling jaringan untuk mempertahankan akses dan bergerak secara lateral di dalam jaringan korban.
Rootkit Linux “ShadowGuard”
Salah satu penemuan paling mengkhawatirkan dari para peneliti adalah penggunaan rootkit Linux kustom berbasis eBPF yang disebut “ShadowGuard”. Penggunaan teknologi eBPF (extended Berkeley Packet Filter) menjadikan malware ini sangat sulit dideteksi.
Rootkit ini beroperasi di dalam ruang kernel (kernel space) yang sangat tepercaya pada sistem operasi Linux. Hal ini memungkinkan penyerang untuk memanipulasi fungsi inti sistem dan catatan audit sebelum perangkat lunak keamanan atau aplikasi pemantau sistem dapat melihat data yang sebenarnya.
“ShadowGuard” mampu menyembunyikan hingga 32 proses (PID) dan direktori tertentu dari alat pemantau standar, menjadikannya “tak terlihat” bagi administrator sistem yang melakukan inspeksi manual.
|
Baca juga: Infostealer Kejahatan Siber Ala Start Up |
Kaitan dengan Keamanan Siber di Indonesia
Indonesia tidak luput dari radar operasi “Shadow Campaigns”. Para peneliti melaporkan bahwa sebuah maskapai penerbangan nasional Indonesia telah menjadi salah satu entitas yang berhasil dikompromikan oleh kelompok ini.
Hal ini menunjukkan bahwa target mereka di Indonesia tidak terbatas pada instansi pemerintah saja, tetapi juga mencakup sektor transportasi dan infrastruktur vital.
Keterlibatan Indonesia dalam daftar korban ini menyoroti beberapa poin krusial bagi ketahanan siber nasional:
- Sektor Transportasi sebagai Infrastruktur Kritis: Kompromi pada maskapai penerbangan bukan hanya masalah bisnis, tetapi juga masalah keamanan nasional karena menyangkut data pergerakan logistik dan orang.
- Kerentanan Server Lokal: Banyaknya penggunaan Microsoft Exchange Server dan perangkat jaringan di instansi Indonesia yang belum melakukan pembaruan keamanan (patching) secara rutin menjadi pintu masuk utama bagi kelompok spionase ini.
- Ancaman Spionase Geopolitik: Mengingat posisi strategis Indonesia di Asia Tenggara, data mengenai kebijakan perdagangan dan diplomatik menjadi incaran utama bagi aktor yang didukung negara untuk mendapatkan keuntungan strategis di meja perundingan.
Langkah Mitigasi
Operasi “Shadow Campaigns” mewakili aktor spionase yang sangat matang dan memprioritaskan intelijen strategis, ekonomi, serta politik.
Penggunaan infrastruktur yang tersebar di AS, Singapura, dan Inggris, dikombinasikan dengan penggunaan proxy perumahan dan jaringan Tor, menunjukkan upaya luar biasa mereka dalam menyamarkan jejak.
Bagi organisasi di Indonesia, terutama yang mengelola infrastruktur kritis, sangat penting untuk meningkatkan kewaspadaan melalui:
- Pembaruan Keamanan Rutin: Segera melakukan patching pada celah keamanan yang sudah diketahui, terutama pada server email dan solusi manajemen perusahaan.
- Pemantauan Kernel Linux: Mengingat adanya rootkit eBPF, administrator sistem harus mulai menggunakan alat pemantau yang mampu mendeteksi anomali pada tingkat kernel.
- Edukasi Anti-Phishing: Meningkatkan kesadaran staf pemerintah terhadap email yang tampak sangat meyakinkan namun berasal dari sumber luar.
Laporan dari para peneliti ini merupakan peringatan keras bahwa perang siber di tingkat spionase negara sedang berlangsung dengan intensitas tinggi, dan setiap entitas yang memegang data strategis harus memperkuat benteng digital mereka sekarang juga.
Sumber berita:
