Hackers kembali menghidupkan trik lama Internet Relay Chat (IRC) dari era 90-an lewat botnet Linux terbaru bernama SSHStalker. Botnet ini menggunakan protokol IRC klasik untuk mengendalikan jaringan perangkat yang terinfeksi dengan cara yang efisien dan canggih.
SSHStalker memanfaatkan IRC channels dan sejumlah bot autonomus untuk mengontrol host Linux yang terinfeksi. Teknik ini memungkinkan hacker mengelola botnet secara terdistribusi, dengan biaya operasional yang rendah dan ketahanan tinggi terhadap gangguan.
Metode Penyebaran dan Infiltrasi
Botnet SSHStalker menyebar melalui brute-force otomatis pada layanan SSH di berbagai server, khususnya infrastruktur cloud. Para peneliti dari perusahaan keamanan Flare mencatat hampir 7.000 hasil scan bot hanya dalam satu bulan, dengan target utama lingkungan cloud seperti Oracle Cloud.
Setelah menguasai sebuah host, malware ini menggunakan binary berbasis bahasa Go yang disamarkan sebagai alat jaringan open-source nmap untuk menyusup lebih dalam ke sistem. Host yang berhasil diinfeksi kemudian berperan dalam menyebarkan malware ke server lain secara cepat, menyerupai pola penyebaran cacing komputer.
Pengelolaan Botnet Menggunakan IRC
Botnet ini mengunduh compiler GCC secara lokal agar dapat membangun payload langsung di sistem yang terinfeksi. Strategi ini memastikan bot IRC yang ditulis dalam bahasa C bisa bekerja lancar di berbagai distribusi Linux tanpa hambatan.
Bot-bot tersebut sudah diprogram dengan daftar server dan channel IRC tertentu yang otomatis mengaitkan host ke dalam jaringan botnet. Selain itu, payload tambahan bernama GS dan bootbou mengatur orkestrasi eksekusi dan supaya botnet dapat berkembang secara skala besar dengan pengawasan terpusat dari server IRC.
Strategi Persistensi dan Eksploitasi
Untuk menjaga keberlangsungan operasinya, SSHStalker membuat cron job yang berjalan setiap menit. Fungsi ini memantau proses bot utama dan jika dihentikan, bot akan otomatis diluncurkan ulang. Cara ini menciptakan siklus tetap yang sangat sulit dipadamkan.
Uniknya, botnet ini juga memanfaatkan eksploitasi dari 16 kerentanan lama di kernel Linux yang berasal dari tahun 2009 sampai 2010. Eksploitasi ini digunakan untuk meningkatkan hak akses dari pengguna dengan izin terbatas supaya akses ke sistem inti dapat diperoleh.
Fitur Monetisasi dan Ancaman Lainnya
SSHStalker dilengkapi dengan fitur monetisasi canggih. Ia mencuri kunci AWS, melakukan pemindaian website, dan menjalankan mining cryptocurrency Ethereum menggunakan PhoenixMiner. Meski memiliki kemampuan melakukan serangan DDoS, belum ditemukan tanda-tanda serangan seperti itu yang diluncurkan oleh botnet ini. Hal ini mengindikasikan kemungkinan botnet masih dalam fase pengujian atau mengumpulkan akses sebanyak mungkin.
Cara Melindungi Sistem dari SSHStalker
Untuk melindungi infrastruktur TI dari serangan ini, administrator dianjurkan melakukan langkah-langkah berikut:
- Nonaktifkan autentikasi password pada SSH dan gunakan metode yang lebih aman seperti kunci publik.
- Hapus compiler dari lingkungan produksi agar payload tidak dapat dibangun di dalam server.
- Terapkan filter egress yang ketat untuk mencegah koneksi keluar yang mencurigakan, terutama yang berjenis IRC.
- Pasang dan perbarui software antivirus secara rutin serta gunakan firewall yang kuat untuk membatasi akses tidak sah.
SSHStalker membuktikan bahwa protokol lawas seperti IRC masih bisa dimanfaatkan secara efektif dalam operasi kriminal siber modern. Peningkatan kewaspadaan dan pengelolaan keamanan yang ketat menjadi kunci utama untuk mencegah ancaman yang memanfaatkan teknik ini berkembang lebih jauh.