Operation Highland: Geng Hacker Tiongkok “Velvet Ant” Susupi Jaringan Terisolasi Selama 10 Tahun
Aksi mata-mata siber berskala masif berhasil dibongkar oleh perusahaan keamanan siber Sygnia. Kelompok peretas (threat actor) asal Tiongkok yang dikenal dengan nama Velvet Ant dilaporkan berhasil menguasai infrastruktur autentikasi sebuah organisasi besar dan mempertahankan posisinya tanpa terdeteksi selama satu dekade (10 tahun).
Kampanye spionase siber berjangka panjang ini diberi nama “Operation Highland”. Para peretas mengombinasikan teknik kamuflase mutakhir untuk menembus jaringan kritis yang terisolasi (air-gapped network) yang sejatinya tidak memiliki jalur koneksi langsung ke jaringan internet luar.
Kronologi Penyerangan: Dari Server Publik hingga Jaringan Terisolasi
Berdasarkan laporan forensik Sygnia, Operation Highland telah dimulai sejak tahun 2016. Velvet Ant bergerak secara bertahap melalui rantai serangan (attack chain) yang sangat rapi:
- Kompromi Awal: Peretas membobol server-server yang terhubung langsung ke internet umum (internet-facing servers) dengan memanfaatkan celah keamanan tertentu.
- Penyusupan Reverse Shell: Velvet Ant menanamkan perangkat lunak pemanggil balik (reverse shell) berbasis GS-Netcat yang telah dimodifikasi dan disamarkan sebagai komponen sistem legal. Alat ini terhubung ke domain relai enkripsi jarak jauh secara konstan dengan memanfaatkan skrip systemd otomatis agar tidak hilang saat server melakukan restart.
- Konfigurasi Proksi SOCKS5: Untuk menyusup lebih dalam tanpa memicu alarm kecurigaan, mereka memasang proksi SOCKS5 kustom yang berjalan secara latar belakang (daemon) dan berganti nama sebagai proses layanan berkas legal (
smbd -D).
Membangun Jembatan Eksekusi Kode Jarak Jauh (RCE) via Nginx
Pencapaian paling berbahaya dari Velvet Ant adalah kemampuannya membangun jalur eksekusi perintah jarak jauh ke dalam jaringan kritis yang terisolasi.
Mereka memodifikasi konfigurasi server web Nginx publik untuk meneruskan permintaan HTTP khusus ke server backend. Di sisi backend, Nginx dikonfigurasi ulang untuk mengalihkan data ke proses FastCGI (fcgiwrap) yang bertindak sebagai jembatan eksekusi. Jembatan ini meluncurkan program biner kustom bernama uptime yang otomatis membuka koneksi SSH ke dalam jaringan terisolasi menggunakan parameter terenkripsi dari permintaan HTTP POST.
Melalui skema rantaian proksi Nginx ini, peretas dapat mengendalikan dan mengeksekusi perintah di dalam jaringan rahasia tanpa pernah membutuhkan koneksi internet langsung ke area steril tersebut.
Membajak Modul Autentikasi PAM dan Komponen OpenSSH
Setelah berhasil menancapkan kaki di jaringan terisolasi, Velvet Ant mengalihkan fokus mereka ke arah retensi jangka panjang (long-term persistence) dan pencurian kredensial massal. Mereka tidak lagi meretas akun satu per satu, melainkan langsung membajak sistem pustaka otentikasi Linux itu sendiri.
| Komponen yang Dimodifikasi | Modus Operandi & Dampak Eksploitasi |
Linux PAM (pam_unix.so) | Diganti dengan versi backdoor (pintu belakang) yang menerima kata sandi universal (hardcoded password) sekaligus mencatat setiap username dan password asli yang diketik pengguna. |
Komponen OpenSSH (ssh, sshd, scp) | Disusupi kode Trojan untuk merekam seluruh log ketikan perintah (commands) yang dimasukkan admin selama sesi aktif berjalan. |
Sygnia mendeteksi ada sembilan varian modul PAM palsu berbeda yang dikompilasi dalam lingkungan terpisah. Hal ini membuktikan bahwa Velvet Ant adalah kelompok peretas terorganisir yang didukung oleh pendanaan dan sumber daya yang sangat besar (well-resourced nation-state threat actor).
Dengan menguasai gerbang autentikasi ini, peretas memiliki visibilitas total. Setiap kali Administrator masuk ke sistem dan mengetikkan perintah, peretas dapat melihat dan merekamnya secara real-time. Hebatnya lagi, taktik ini membuat peretas tetap bisa masuk ke sistem meskipun organisasi tersebut telah melakukan penggantian kata sandi berkala maupun pemutusan sesi aktif (session termination).
Proses Pembersihan Rumit yang Berisiko Fatal
Menyingkirkan Velvet Ant dari sistem terbukti menjadi tantangan yang sangat rumit bagi tim forensik Sygnia. Karena peretas telah mengganti begitu banyak komponen dasar sistem operasi dengan versi palsu, menghapusnya secara ceroboh justru dapat merusak alur autentikasi, mengunci akses para administrator sah, hingga memicu kelumpuhan operasional total (operational outages).
Guna mengatasi risiko tersebut, tim keamanan harus membangun laboratorium pengujian khusus (testing lab) untuk mensimulasikan proses penggantian file biner, memprofilkan setiap komputer satu per satu, serta menyiapkan skrip pemulihan darurat (rollback procedures) sebelum eksekusi pembersihan massal dilakukan di sistem utama.
Rekomendasi Keamanan untuk Perusahaan
Guna mengantisipasi serangan serupa, Sygnia mengeluarkan beberapa panduan mitigasi penting bagi para arsitek jaringan dan tim pertahanan siber:
- Proteksi Aset Autentikasi: Perlakukan komponen vital seperti Linux PAM, OpenSSH, dan Windows LSASS sebagai aset keamanan kritis tertinggi. Lindungi komponen ini menggunakan solusi EDR (Endpoint Detection and Response).
- Monitoring Integritas Berkas: Terapkan sistem File Integrity Monitoring (FIM) untuk mendeteksi secara instan jika ada modifikasi ilegal pada file sistem seperti
.soatau file konfigurasi Nginx. - Pengerasan Akses: Terapkan Otentikasi Multi-Faktor (MFA) yang ketat dan batasi hak akses khusus (privileged access hardening).
- Strategi Cadangan Cadangan Off-Site: Siapkan sistem pencadangan (backup) data secara berkala yang disimpan dalam bentuk salinan kekal (immutable snapshots) yang terisolasi dari jaringan utama untuk kebutuhan pemulihan pasca-bencana (disaster recovery).
Sumber: Sygnia Advanced Cyber Threat Intelligence Report
