Dalam banyak kasus keamanan siber, ancaman terbesar bukanlah serangan yang langsung menghancurkan sistem, melainkan serangan yang diam-diam menyusup dan bertahan lama di dalam jaringan. Inilah pola yang kembali terlihat dalam kampanye terbaru yang dikaitkan dengan kelompok peretas Iran bernama MuddyWater.
Peneliti keamanan menemukan bahwa kelompok ini berhasil menyusup ke jaringan beberapa organisasi di Amerika Utara, termasuk perusahaan teknologi, bank, bandara, dan organisasi non-profit. Serangan tersebut tidak bertujuan langsung merusak sistem, tetapi membangun akses jangka panjang ke dalam infrastruktur digital korban.
Ancaman seperti ini berbahaya karena sering kali organisasi tidak menyadari bahwa sistem mereka sudah disusupi. Ketika akses tersebut berhasil dipertahankan, penyerang dapat mengamati aktivitas internal, mencuri data sensitif, atau bahkan mempersiapkan serangan yang lebih besar di masa depan.
Eksplorasi: Backdoor Baru dan Teknik Infiltrasi
Dalam kampanye ini, MuddyWater menggunakan beberapa alat malware baru untuk mempertahankan akses ke sistem korban. Salah satu yang paling menonjol adalah backdoor bernama “Dindoor”, yang dibangun menggunakan runtime JavaScript Deno. Malware ini memungkinkan penyerang menjalankan perintah jarak jauh pada sistem yang sudah terinfeksi.
Selain itu, peneliti juga menemukan malware lain bernama Fakeset, sebuah backdoor berbasis Python yang diunduh dari server cloud storage publik. Penggunaan layanan cloud yang sah membuat lalu lintas jaringan terlihat normal sehingga lebih sulit dideteksi oleh sistem keamanan tradisional.
Setelah berhasil masuk ke jaringan, penyerang mencoba mencuri data menggunakan alat seperti Rclone, yang dapat mentransfer file ke layanan penyimpanan cloud eksternal. Dengan teknik ini, data sensitif dapat dipindahkan keluar dari jaringan korban tanpa memicu banyak alarm keamanan.
Kampanye ini juga menunjukkan pola yang sering terlihat dalam operasi negara-bangsa: infiltrasi yang sabar dan bertahap. Penyerang tidak terburu-buru, melainkan membangun pijakan dalam jaringan target sebelum melakukan langkah berikutnya.
Solusi: Memahami dan Mendeteksi Infiltrasi Jangka Panjang
Serangan seperti ini menunjukkan bahwa pendekatan keamanan siber harus berubah dari sekadar memblokir malware menjadi mendeteksi aktivitas yang mencurigakan di dalam jaringan.
Beberapa langkah penting yang dapat membantu organisasi menghadapi ancaman seperti MuddyWater antara lain:
Pertama, meningkatkan monitoring aktivitas sistem dan jaringan untuk mendeteksi perilaku yang tidak biasa, seperti proses yang mencoba mengakses cloud storage secara tidak wajar.
Kedua, menerapkan Endpoint Detection and Response (EDR) yang mampu mengidentifikasi eksekusi skrip atau program yang mencurigakan, bahkan ketika malware tersebut belum dikenal sebelumnya.
Ketiga, memperkuat kontrol akses dan segmentasi jaringan, sehingga jika satu sistem berhasil disusupi, penyerang tidak dapat dengan mudah bergerak ke bagian lain dari infrastruktur.
Pada akhirnya, serangan MuddyWater menunjukkan bahwa dalam dunia keamanan siber modern, ancaman terbesar sering kali bukan serangan yang paling terlihat, melainkan infiltrasi yang sabar, tersembunyi, dan berlangsung dalam waktu lama.
