Hacker TeamPCP Sebarkan Malware Penghancur (Wiper) Targetkan Sistem Kubernetes di Iran

Kelompok peretas TeamPCP dilaporkan tengah melancarkan kampanye serangan siber baru yang menargetkan klaster Kubernetes. Mereka menggunakan skrip berbahaya yang dirancang secara spesifik untuk menghapus total (wipe) seluruh data pada mesin jika sistem tersebut terdeteksi dikonfigurasi untuk wilayah Iran.

TeamPCP sendiri merupakan aktor ancaman yang belum lama ini menjadi dalang di balik serangan rantai pasokan (supply-chain attack) pemindai kerentanan Trivy serta kampanye peretasan berbasis NPM yang dijuluki ‘CanisterWorm’ pada 20 Maret lalu.

Payload Destruktif dengan Target Geopolitik

Peneliti dari perusahaan keamanan aplikasi Aikido menjelaskan bahwa kampanye yang menargetkan klaster Kubernetes ini menggunakan infrastruktur komando dan kontrol (C2), kode backdoor, dan jalur distribusi (seperti direktori /tmp/pglog) yang sama persis dengan yang ditemukan pada insiden CanisterWorm.

Kendati demikian, varian serangan terbaru ini memiliki perbedaan yang mencolok. “Pergerakan lateral cloud-native berbasis Kubernetes melalui fitur DaemonSet ini memang sejalan dengan buku panduan TeamPCP, tetapi varian ini menambahkan sesuatu yang belum pernah kami lihat dari mereka sebelumnya: sebuah payload destruktif dengan target geopolitik yang ditujukan khusus untuk sistem Iran,” urai para peneliti Aikido.

Menurut analisis, malware ini dirancang untuk menghancurkan mesin apa pun yang pengaturan zona waktu dan lokal (locale)-nya cocok dengan Iran, terlepas dari apakah sistem tersebut memiliki instalasi Kubernetes atau tidak.

Skenario Ekskusi dan Penghapusan Data

Cara kerja malware ini sangat bergantung pada identifikasi wilayah dan ketersediaan infrastruktur Kubernetes pada sistem target. Berikut adalah skenario eksekusinya:

• Sistem Iran dengan Kubernetes: Skrip akan menyebarkan DaemonSet bernama Host-provisioner-iran di dalam kube-system. DaemonSet ini memuat container dengan hak istimewa tingkat tinggi yang memasang (mount) sistem fail root ke direktori /mnt/host. Setiap pod kemudian menjalankan container Alpine bernama ‘kamikaze’ yang akan langsung menghapus seluruh direktori tingkat atas pada host, lalu memaksa mesin untuk melakukan reboot (mulai ulang).
• Sistem Non-Iran dengan Kubernetes: Jika sistem bukan milik entitas Iran, malware akan menyebarkan DaemonSet bernama host-provisioner-std. Alih-alih menghapus data, setiap pod akan menulis backdoor Python ke sistem host dan menginstalnya sebagai layanan systemd sehingga akses peretas tetap bertahan secara permanen di setiap node.
• Sistem Iran Tanpa Kubernetes: Malware akan bertindak sangat agresif dengan mengeksekusi perintah rm -rf / --no-preserve-root yang terkenal mematikan. Perintah ini akan menghapus setiap fail di dalam mesin, termasuk data sistem. Jika peretas tidak memiliki hak akses root, skrip akan mencoba menggunakan metode passwordless sudo.
• Sistem Non-Iran Tanpa Kubernetes: Malware tidak akan melakukan tindakan berbahaya apa pun dan hanya akan keluar dari sistem.

Pergeseran ke Propagasi SSH

Laporan Aikido juga mengungkap bahwa versi terbaru dari malware ini—yang masih menggunakan backdoor canister ICP yang sama—telah meninggalkan metode pergerakan lateral berbasis Kubernetes. Sebagai gantinya, mereka kini mengandalkan metode propagasi SSH. Malware akan membaca (parsing) log autentikasi secara mendalam untuk mencari kredensial yang valid dan menyalahgunakan kunci privat (SSH private keys) yang berhasil dicuri.

Para peneliti menyoroti beberapa Indikator Kompromi (IoC) utama dari aktivitas ini untuk membantu administrator TI. Indikator tersebut meliputi adanya koneksi SSH keluar dengan parameter StrictHostKeyChecking+no dari host yang terkompromi, koneksi keluar menuju API Docker pada porta 2375 yang melintasi subjaringan lokal, serta eksekusi container Alpine berhak istimewa melalui API Docker tanpa autentikasi.