Pegawai Microsoft Mengungkap Ancaman Serangan Backdoor Linux

Seorang pegawai Microsoft yang juga menjadi relawan Linux telah mengungkapkan sebuah potensi ancaman siber yang dapat mengganggu jutaan sistem di seluruh dunia. Kisah ini bermula dari penemuan backdoor yang disusupkan ke dalam pembaruan terbaru Linux, khususnya dalam format kompresi XZ Utils yang umum digunakan dalam distribusi Linux.

Serangan siber yang dapat terjadi melalui backdoor ini dapat mengakibatkan dampak yang luas dan merusak.Dikutip dari The Verge pada Kamis (4/4/2024) menjelaskan bahwa mayoritas komputer di seluruh dunia dapat terancam dan rentan terhadap serangan ini, tanpa disadari oleh pengguna.

Ben Thompson dari Stratechery menggambarkan situasi tersebut sebagai ancaman yang serius dan berpotensi menimbulkan masalah besar bagi sistem komputer yang terdampak. Ia menyatakan bahwa jika backdoor ini tersebar luas, akan sulit untuk menghitung berapa banyak sistem yang dapat terancam selama beberapa tahun ke depan.

"Mayoritas komputer di dunia akan terancam dan tidak ada orang yang menyadari," tulis Ben THompson di Stratechery.

Backdoor tersebut berhasil disusupkan ke dalam sistem remote login Linux dengan cara yang sangat rahasia, sehingga hanya dapat terdeteksi oleh mereka yang memiliki akses khusus atau "kunci" tertentu. Keahlian ini memungkinkan backdoor untuk bersembunyi dengan sempurna dari pemindaian yang dilakukan pada komputer publik atau sistem yang tidak memiliki izin khusus. Dengan begitu, backdoor dapat beroperasi secara diam-diam tanpa diketahui oleh banyak orang, meningkatkan potensi kerusakan dan ancaman yang dapat ditimbulkan.

Namun, berkat kecermatan seorang engineer Microsoft yang juga menjadi relawan untuk menjaga PostgreSQL, masalah ini dapat terdeteksi dan diungkapkan sebelum menimbulkan kerusakan yang lebih parah. Andres Freund, seorang pengembang asal San Francisco yang bekerja untuk Microsoft, merupakan orang yang pertama kali menemukan keganjilan pada sistem Linux pada 29 Maret 2024.

Freund mengamati bahwa saat menjalankan beberapa tes, terjadi peningkatan yang signifikan dalam penggunaan daya prosesor pada beberapa bagian dari library kompresi XZ. Kecurigaannya semakin bertambah saat dia tidak dapat menemukan alasan yang jelas melalui uji performa yang dilakukan.

Setelah menemukan indikasi yang mencurigakan, Freund membagikan temuannya melalui platform Mastodon dan mengirimkan email ke milis OpenWall dengan subjek "Backdoor in upstream xz/liblzma leading to ssh server compromise." Tindakan cepatnya membantu untuk mencegah potensi penyebaran backdoor yang lebih luas dan mengurangi risiko serangan terhadap sistem Linux.

Selain itu, Freund juga mengingat beberapa keluhan yang dia terima sebelumnya dari pengguna PostgreSQL terkait dengan program Valgrind di Linux. Dia menghubungkan hal ini dengan temuannya terkait backdoor dalam library XZ, yang kemudian mengarah pada pemahaman bahwa repository upstream xz dan tarballs xz telah disusupi backdoor.

Red Hat, perusahaan software open source ternama, juga merespons cepat dengan mengirimkan peringatan darurat kepada pengguna Fedora Rawhide dan Fedora Linux 40. Mereka menyarankan pengguna untuk segera menghentikan penggunaan Fedora Rawhide dan Fedora Linux 40 untuk aktivitas pekerjaan maupun pribadi guna mengurangi resiko penyebaran backdoor.

"PLEASE IMMEDIATELY STOP USAGE OF ANY FEDORA RAWHIDE INSTANCES for work or personal activity," tulis Red Hat dalam peringatan tersebut.

Setelah dilakukan penyelidikan lebih lanjut, pelaku yang menyusupkan backdoor tersebut teridentifikasi sebagai Jia Tan, juga dikenal dengan nama JiaT75. Dia adalah orang yang sudah dikenal sering bekerja sama dengan pengembang asli format .xz bersama Lasse Collin. Jia Tan mulai mengerjakan patch resmi sejak Oktober 2021, namun tindakannya dalam menyusupkan backdoor baru terungkap pada Maret 2024.

Selain Jia Tan, ada dua sosok lain yang mencurigakan dalam kasus ini, yaitu Jigar Kumar dan Dennis Ens. Kedua sosok ini mulai mengirim email keluhan terkait bug kepada Collin dan mengeluhkan kelambatan dalam pengembangan. Namun, investigasi menemukan bahwa keduanya tidak pernah tercatat di luar komunitas XZ, menimbulkan kecurigaan bahwa mereka adalah sosok palsu yang membantu Jia Tan dalam menyusupkan backdoor ke dalam XZ.

Kejadian ini memberikan pembelajaran penting tentang pentingnya keamanan sistem operasi open source dan peran penting para pengembang dan relawan dalam mendeteksi dan mencegah ancaman siber yang dapat mengganggu stabilitas dan keamanan sistem komputer global. Dengan kerjasama antara komunitas pengembang, perusahaan, dan pengguna akhir, potensi serangan siber seperti ini dapat diatasi dan mitigasi risiko dapat dilakukan dengan lebih efektif.