Serangan TeamTNT: Rootkit Diamorphine Ancam Server VPS CentOS

Rootkit Diamorphine memiliki kemampuan canggih untuk menjalankan perintah secara tersembunyi, menyembunyikan atau menampilkan proses tertentu, serta memberikan akses root kepada pengguna dengan cara yang sulit terdeteksi oleh sistem keamanan tradisional.

Dengan memanfaatkan kerentanan dalam sistem operasi, rootkit ini dapat beroperasi di latar belakang tanpa meninggalkan jejak yang mencolok. Hal ini memungkinkan penyerang untuk mengontrol sistem yang terinfeksi seolah-olah mereka adalah pemilik sah, yang dapat meningkatkan risiko kebocoran data dan akses tidak sah ke informasi sensitif.

Kumpulan peretas yang dikenal dengan sebutan TeamTNT kembali melakukan serangan terbaru yang menargetkan infrastruktur Virtual Private Server (VPS) yang berbasis sistem operasi CentOS. Sejak didirikan pada tahun 2019, grup ini telah menunjukkan kekuatan dan keahlian mereka dalam aktivitas cryptojacking, yaitu penggunaan sumber daya server lain tanpa izin pemilik untuk menambang cryptocurrency. TeamTNT khususnya dikenal karena fokus pada server Linux, Redis, serta container Docker dan Kubernetes yang sering kali ditemukan dalam konfigurasi yang kurang aman.

Menurut laporan terbaru dari peneliti keamanan siber Group-IB yang dipublikasikan oleh Cybersecurity News (20/9), kampanye ini dimulai dengan serangan brute force Secure Shell (SSH) terhadap aset korban, sebuah metode yang umum namun efektif untuk mendapatkan akses tidak sah.

Setelah berhasil mengakses sistem, penyerang mengunggah skrip berbahaya yang dirancang untuk menonaktifkan fitur keamanan yang ada, menghapus log aktivitas, memodifikasi file sistem untuk membuat pintu belakang, serta mencari dan menghentikan proses pencurian kripto yang sedang berlangsung untuk mengambil alih kontrol penuh atas sistem.

Skrip tersebut juga melakukan berbagai tindakan merusak lainnya, termasuk menghapus kontainer Docker yang mendukung sistem operasional yang aman, memperbarui pengaturan DNS pada server Google untuk mengalihkan lalu lintas dari server yang seharusnya, dan memasang rootkit Diamorphine.

Rootkit ini adalah modul kernel Linux yang memungkinkan peretas melakukan aktivitas berbahaya secara tersembunyi, memberikan kontrol yang signifikan atas sistem yang terinfeksi, dengan banyak sistem deteksi yang tidak dapat mendeteksi keberadaannya. Dengan langkah-langkah ini, TeamTNT menunjukkan bahwa mereka tidak hanya berusaha untuk mengakses sistem, tetapi juga bertujuan untuk membangun kendali jangka panjang, menciptakan infrastruktur yang mendukung penambangan kripto tanpa terdeteksi.

Rootkit Diamorphine mampu mengeksekusi perintah secara diam-diam, menyembunyikan atau menampilkan proses tertentu, dan memberikan akses root kepada pengguna dengan mengirimkan sinyal. Skrip ini juga membuat akses backdoor dengan root, menambahkannya ke grup 'sudoer', dan menginstal kunci publik untuk akses aman melalui SSH.

Peneliti dari Group-IB juga menyebutkan bahwa skrip tersebut mengunci sistem dengan memodifikasi file atribut, sehingga menyulitkan administrator untuk membuka file yang dilindungi dan menghambat upaya pemulihan. Serangan ini menyoroti tantangan yang semakin kompleks dalam pelestarian infrastruktur awan. Teknologi berbasis cloud seperti Kubernetes dan Docker memudahkan pelaku ancaman untuk mengeksploitasi konfigurasi yang lemah dan praktik keamanan yang tidak memadai. Versi CentOS 7, yang masih banyak digunakan meskipun dukungannya telah dihentikan, menjadi target utama karena sering kali tidak menerima pembaruan keamanan terkini.

“Fokus TeamTNT pada server VPS berbasis CentOS sangat signifikan karena sistem ini sering kali kekurangan patch keamanan terbaru, sehingga rentan terhadap serangan,” ungkap para peneliti.

Untuk mencegah serangan serupa, tim keamanan disarankan untuk memperkuat konfigurasi SSH, mengidentifikasi keberadaan rootkit, serta memastikan lingkungan kontainer terproteksi dengan baik. Selain itu, penerapan langkah-langkah keamanan seperti pembaruan patch, pengaturan firewall untuk membatasi akses layanan, dan akses server SSH hanya dari alamat IP tertentu sangat penting.

Serangan terbaru ini kembali pentingnya langkah-langkah keamanan yang lebih kuat pada infrastruktur cloud. Seiring berkembangnya teknologi cloud, taktik para pelaku ancaman juga semakin canggih.