Peneliti keamanan siber mengungkap malware baru bernama Plague yang menargetkan perangkat berbasis Linux, menyusupkan backdoor, dan secara diam-diam menghapus jejak sesi SSH untuk menghindari deteksi. Plague didesain untuk operasi jangka panjang dengan tetap tersembunyi, sehingga memperbesar risiko kompromi sistem secara mendalam.
🦠 Plague: Malware Backdoor yang Diam-Diam Mematikan
Plague memanfaatkan sistem Linux yang rentan, terutama server yang terbuka ke internet, untuk menyusup dan menanamkan dirinya sebagai backdoor persistens. Setelah berhasil masuk, malware ini:
- Memodifikasi sistem agar tetap aktif setelah reboot
- Menonaktifkan dan menghapus log sesi SSH (.bash_history, wtmp, lastlog)
- Mengatur koneksi reverse shell untuk kontrol jarak jauh
- Menyamar sebagai proses sistem agar tidak mudah terdeteksi
📁 Teknik Persistensi dan Kamuflase Canggih
Plague menggunakan berbagai teknik stealth yang umum di malware tingkat lanjut:
- Binary masquerading: mengganti nama proses agar terlihat seperti proses sistem biasa
- Modifikasi cron dan init script: untuk otomatisasi eksekusi saat boot
- Penghapusan jejak aktivitas pengguna, termasuk command history, login session, dan IP koneksi terakhir
Selain itu, malware ini dilengkapi custom shell script untuk menginisialisasi backdoor secara dinamis sesuai konfigurasi sistem target.
🛡️ Vektor Serangan dan Target Utama
Meskipun metode penyebaran masih diteliti, Plague diperkirakan menyusup melalui:
- Eksploitasi kerentanan remote (RCE)
- Brute-force SSH pada server dengan kredensial lemah
- Akses awal dari malware lain atau script botnet
Target utamanya adalah server berbasis Linux yang dikelola secara remote—baik untuk keperluan hosting, cloud, maupun infrastruktur internal organisasi.
🔍 Ancaman Serius untuk Server Tanpa Pemantauan Ketat
Dengan kemampuan menyembunyikan jejak dan mempertahankan akses backdoor, Plague bisa digunakan untuk:
- Pencurian data sensitif
- Serangan lateral ke jaringan internal
- Penyusupan jangka panjang (APT)
- Penyalahgunaan sumber daya server (mining, proxy, botnet)
Karena malware ini menghapus jejak SSH secara otomatis, administrator mungkin tidak menyadari adanya intrusi bahkan setelah aktivitas berlangsung selama berbulan-bulan.
✅ Langkah Mitigasi Disarankan
- Gunakan otentikasi kunci SSH, bukan password
- Nonaktifkan login root langsung
- Pantau file log sistem dan integrity file
- Terapkan firewall dan fail2ban untuk melindungi port SSH
- Jalankan audit keamanan rutin dengan IDS/IPS atau tools seperti Lynis dan chkrootkit
Sumber: New Plague malware backdoors Linux devices, removes SSH session traces