Laporan CrowdStrike 2025 Threat Hunting Report mengungkap lonjakan dramatis dalam aktivitas siber yang menargetkan sektor ini. Berbeda dengan peretas kriminal yang mencari uang tebusan cepat, musuh kali ini bermain dengan strategi "permainan panjang" (long game) yang sabar dan mematikan.
Laporan tersebut mencatat bahwa intrusi interaktif di sektor telekomunikasi meningkat sebesar 53% selama 12 bulan terakhir. Namun, angka yang paling mengejutkan adalah lonjakan aktivitas aktor negara-bangsa (nation-state activity) yang meroket hingga 130% di sektor ini.
Lonjakan ini terutama didorong oleh aktor ancaman yang berafiliasi dengan China (China-nexus), yang menjadikan perusahaan telekomunikasi sebagai target prioritas untuk pengumpulan intelijen strategis dan kontraintelijen.
Salah satu aktor utama yang diidentifikasi dalam laporan ini adalah Glacial Panda. Kelompok ini membedakan dirinya dengan pendekatan operasi yang sangat hati-hati dan metodis. Tujuan utama mereka bukan merusak sistem, melainkan mempertahankan akses jangka panjang tanpa terdeteksi untuk memanen data sensitif, seperti Catatan Detail Panggilan (Call Detail Records atau CDR) dan telemetri jaringan.
Data CDR ini sangat bernilai bagi operasi spionase karena memungkinkan pemetaan komunikasi target, melacak lokasi, dan memahami pola hubungan antar individu atau organisasi. Selain itu, akses ke jaringan penyedia telekomunikasi sering kali digunakan sebagai batu loncatan untuk menyerang organisasi pelanggan di hilir yang menggunakan konektivitas dari penyedia tersebut.
Kehebatan Glacial Panda terletak pada kemampuan mereka untuk membaur. Mereka sering kali menargetkan sistem Linux, yang merupakan tulang punggung infrastruktur telekomunikasi, terutama sistem lawas (legacy) yang mungkin luput dari pemantauan keamanan modern.
Alih-alih menggunakan malware khusus yang mudah dikenali antivirus, mereka menggunakan teknik Living off the Land (LOTL). Artinya, mereka menggunakan alat administrasi sistem yang sah dan sudah tersedia di dalam komputer korban untuk menjalankan perintah jahat, sehingga aktivitas mereka terlihat seperti aktivitas administrator biasa.
Namun, senjata paling khas mereka adalah alat yang dijuluki ShieldSlide. Ini adalah versi modifikasi (trojan) dari komponen OpenSSH yang sah. ShieldSlide terlihat dan berfungsi persis seperti perangkat lunak SSH standar, tetapi memiliki modifikasi kecil pada kode sumbernya yang memungkinkannya mencatat kredensial (kata sandi) pengguna yang sedang login.
Lebih buruk lagi, alat ini berfungsi sebagai backdoor universal; peretas dapat masuk ke sistem kapan saja menggunakan kata sandi hardcoded, bahkan jika mereka login sebagai 'root'.
Ancaman seperti Glacial Panda sangat sulit dideteksi karena jejak digital mereka yang minimal. Mereka mengeksploitasi celah pada perangkat yang tidak terkelola (unmanaged devices) atau server yang menghadap internet dengan perlindungan kata sandi yang lemah.
CrowdStrike memperingatkan bahwa untuk menghadapi musuh yang sabar ini, perusahaan telekomunikasi harus melakukan perburuan ancaman (threat hunting) secara proaktif. Fokus tidak boleh hanya pada deteksi malware, tetapi pada pencarian anomali perilaku, seperti modifikasi pada binary sistem Linux (seperti /usr/bin/ssh) dan pola koneksi SSH yang mencurigakan antar host internal.
Tanpa kewaspadaan tingkat tinggi, jaringan komunikasi yang kita andalkan bisa menjadi alat penyadap bagi kekuatan asing tanpa sepengetahuan pemiliknya.
Cek Berita dan Artikel yang lain di
Google News
