Ancaman persisten tingkat lanjut (APT) adalah serangan siber tidak terdeteksi yang dirancang untuk mencuri data sensitif, melakukan spionase siber, atau menyabotase sistem penting dalam jangka waktu yang lama. Berbeda dengan ancaman siber lain seperti ransomware, tujuan kelompok penyerang APT adalah agar tetap luput dari perhatian saat mereka menyusup dan memperluas kehadirannya di seluruh jaringan target.
Tim penjahat siber yang disponsori negara sering kali melakukan serangan APT untuk mengakses informasi sensitif negara lain atau kekayaan intelektual organisasi besar. Meskipun awalnya mereka mungkin menggunakan teknik rekayasa sosial tradisional, para pelaku ancaman ini dikenal karena menyesuaikan alat dan metode canggih untuk mengeksploitasi kerentanan unik organisasi tertentu. Serangan APT yang berhasil dapat berlangsung berbulan-bulan atau bahkan bertahun-tahun.
Buletin industri
Ikuti perkembangan tren industri yang paling penting—dan menarik—di bidang AI, otomatisasi, data, dan lainnya dengan buletin Think. Lihat Pernyataan Privasi IBM.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM kami untuk informasi lebih lanjut.
Kelompok APT sering kali mendapatkan akses awal ke jaringan target mereka melalui rekayasa sosial dan phishing tombak. Dengan menggunakan intelijen yang dikumpulkan dari berbagai sumber di dalam dan di luar organisasi, penyerang APT akan membuat email phishing tombak canggih yang meyakinkan para eksekutif atau pemimpin senior untuk mengklik tautan berbahaya.
Penyerang juga dapat mengejar titik masuk lain dan permukaan serangan untuk menembus jaringan. Misalnya, mereka dapat meluncurkan serangan zero-day pada kerentanan yang belum ditambal dalam aplikasi web atau menyematkan malware di situs web publik yang biasanya dikunjungi karyawan.
Setelah intrusi awal, kelompok APT akan menjelajahi dan memetakan jaringan untuk menentukan langkah terbaik berikutnya untuk gerakan lateral di seluruh organisasi. Dengan memasang serangkaian pintu belakang yang memungkinkan mereka mengakses jaringan dari beberapa titik masuk, mereka dapat terus melakukan pengintaian dan menginstal malware tersembunyi.
Mereka juga dapat mencoba memecahkan kata sandi dan mendapatkan hak administratif untuk mengamankan area di mana data sensitif berada. Yang paling penting, penyerang akan membuat koneksi ke server perintah dan kontrol eksternal untuk manajemen jarak jauh dari sistem yang diretas.
Untuk mempersiapkan diri melakukan pencurian data pertama, kelompok APT akan memindahkan informasi yang telah mereka kumpulkan dari waktu ke waktu ke lokasi aman yang terpusat di dalam jaringan. Mereka mungkin juga mengenkripsi dan mengompresi data untuk eksfiltrasi yang lebih mudah.
Kemudian, untuk mengalihkan perhatian personel keamanan dan mengalihkan sumber daya, mereka dapat melakukan peristiwa “white noise” seperti serangan Denial-of-service terdistribusi (DDoS). Pada titik ini, mereka dapat mentransfer data yang dicuri ke server eksternal tanpa terdeteksi.
Kelompok APT dapat tetap berada di dalam jaringan yang telah dibobol untuk waktu yang lama atau tanpa batas waktu, karena mereka menunggu kesempatan baru untuk melakukan serangan. Selama waktu ini, mereka dapat mempertahankan keberadaan mereka yang tersembunyi dengan menulis ulang kode untuk menyembunyikan malware dan menginstal rootkit yang menyediakan akses ke sistem sensitif tanpa terdeteksi. Terkadang, mereka dapat menghapus bukti serangan dan meninggalkan jaringan sepenuhnya setelah mencapai tujuannya.
Dengan menggunakan email phishing yang didistribusikan secara luas, email phishing tombak yang sangat dipersonalisasi, atau taktik manipulasi sosial lainnya, kelompok APT meyakinkan pengguna untuk mengklik tautan berbahaya atau mengungkapkan informasi yang memberikan akses ke sistem yang dilindungi.
Dengan menerapkan shellcode berbahaya yang memindai jaringan untuk mencari kerentanan perangkat lunak yang belum ditambal, kelompok APT dapat mengeksploitasi area kelemahan sebelum administrator IT dapat bereaksi.
Kelompok APT dapat menargetkan mitra bisnis, teknologi, atau vendor tepercaya dari suatu organisasi untuk mendapatkan akses tidak sah melalui rantai pasokan perangkat lunak atau perangkat keras bersama.
Dengan kemampuan untuk menyediakan akses tersembunyi, pintu belakang ke sistem yang dilindungi, rootkit adalah alat yang berharga untuk membantu grup APT menyembunyikan dan mengelola operasi jarak jauh.
Setelah kelompok APT mendapatkan pijakan di jaringan yang dibobol, mereka membuat koneksi ke server eksternal mereka sendiri untuk mengelola serangan dari jarak jauh dan mengeksfiltrasi data sensitif.
Kelompok APT dapat menggunakan serangkaian alat lain untuk memperluas dan menyembunyikan keberadaan mereka di seluruh jaringan seperti worm, keylogging, bot, pembobolan kata sandi, spyware, dan pengaburan kode.
Dikenal dengan email phishing tombak yang sangat meyakinkan dan telah diteliti dengan baik, Helix Kitten diduga beroperasi di bawah pengawasan pemerintah Iran. Kelompok ini terutama menargetkan perusahaan di Timur Tengah di berbagai industri seperti kedirgantaraan, telekomunikasi, jasa keuangan, energi, kimia, dan perhotelan. Para analis percaya serangan ini dimaksudkan untuk menguntungkan kepentingan ekonomi, militer, dan politik Iran.
Wicked Panda adalah kelompok APT yang terkenal dan produktif yang berbasis di Tiongkok yang diduga memiliki hubungan dengan Kementerian Keamanan Negara Tiongkok dan Partai Komunis Tiongkok. Selain melakukan spionase siber, anggota kelompok ini juga dikenal suka menyerang perusahaan untuk mendapatkan keuntungan finansial. Mereka diyakini bertanggung jawab atas peretasan ke dalam rantai pasokan perawatan kesehatan, mencuri data sensitif dari perusahaan bioteknologi, dan pencurian pembayaran bantuan COVID-19 di Amerika Serikat.
Stuxnet adalah worm komputer yang digunakan untuk mengganggu program nuklir Iran dengan menargetkan sistem kontrol pengawasan dan akuisisi data (SCADA). Meskipun saat ini sudah tidak aktif lagi, ancaman ini dianggap sebagai ancaman yang sangat efektif ketika ditemukan pada tahun 2010, menyebabkan kerusakan yang signifikan pada targetnya. Para analis percaya bahwa Stuxnet dikembangkan bersama oleh Amerika Serikat dan Israel, meskipun tidak ada satu pun negara yang secara terbuka mengaku bertanggung jawab.
Lazarus Group adalah kelompok APT berbasis di Korea Utara yang diyakini bertanggung jawab atas pencurian ratusan juta dolar dalam mata uang virtual. Menurut Departemen Kehakiman AS, kejahatan tersebut adalah bagian dari strategi untuk merusak keamanan siber global dan menghasilkan pendapatan bagi pemerintah Korea Utara. Pada tahun 2023, FBI AS menuduh Lazarus Group mencuri mata uang virtual senilai 41 juta USD dari kasino online.
Karena serangan APT dirancang untuk meniru operasi jaringan normal, mereka bisa sulit dideteksi. Para pakar merekomendasikan beberapa pertanyaan yang harus ditanyakan tim keamanan jika mereka mencurigai mereka telah menjadi sasaran.
Pelaku ancaman APT menargetkan akun pengguna bernilai tinggi dengan akses istimewa ke informasi sensitif. Akun ini mungkin mengalami volume login yang luar biasa tinggi selama serangan. Dan karena kelompok APT sering beroperasi di zona waktu yang berbeda, login ini dapat terjadi larut malam. Organisasi dapat menggunakan alat seperti deteksi dan respons titik akhir(EDR) atau analitik perilaku pengguna dan entitas (UEBA) untuk menganalisis dan mengidentifikasi aktivitas yang tidak biasa atau mencurigakan pada akun pengguna.
Sebagian besar lingkungan TI mengalami Trojan pintu belakang, tetapi selama serangan APT kehadiran mereka dapat menyebar luas. Kelompok APT mengandalkan Trojan pintu belakang sebagai cadangan untuk masuk kembali ke sistem yang disusupi setelah sistem tersebut dibobol.
Penyimpangan yang signifikan dari batas normal aktivitas transfer data bisa menunjukkan adanya serangan APT. Hal ini dapat mencakup peningkatan mendadak dalam operasi basis data dan transfer internal atau eksternal sejumlah besar informasi. Alat yang memantau dan menganalisis log peristiwa dari sumber data, seperti informasi keamanan dan manajemen peristiwa ( SIEM) atau deteksi dan respons jaringan ( NDR), dapat membantu untuk menandai insiden ini.
Kelompok APT biasanya mengumpulkan data dalam jumlah besar dari seluruh jaringan dan memindahkan informasi tersebut ke lokasi pusat sebelum dieksfiltrasi. Kumpulan data dalam jumlah besar di lokasi yang tidak biasa, terutama jika data tersebut dalam format dikompresi, dapat mengindikasikan serangan APT.
Serangan phishing tombak yang menargetkan beberapa pemimpin tingkat tinggi adalah taktik umum di kalangan kelompok APT. Email ini sering berisi informasi rahasia dan menggunakan format dokumen seperti Microsoft Word atau Adobe Acrobat PDF untuk meluncurkan perangkat lunak berbahaya. Alat pemantauan integritas file (FIM) dapat membantu organisasi mendeteksi apakah aset TI penting telah dirusak karena malware yang ditanam dalam email phishing tombak.
Ada beberapa langkah keamanan yang dapat diambil organisasi untuk mengurangi risiko peretas APT mendapatkan akses tidak sah ke sistem mereka. Karena kelompok APT terus mengadaptasi metode baru untuk setiap vektor serangan, para pakar merekomendasikan pendekatan yang luas yang menggabungkan berbagai solusi dan strategi keamanan, termasuk: