Diterbitkan: 3 April 2024
Kontributor: Gregg Lindemulder, Amber Forrest
Ancaman persisten tingkat lanjut (APT) adalah serangan siber tidak terdeteksi yang dirancang untuk mencuri data sensitif, melakukan spionase siber, atau menyabotase sistem penting dalam jangka waktu yang lama. Berbeda dengan ancaman siber lain seperti ransomware, tujuan kelompok penyerang APT adalah agar tetap luput dari perhatian saat mereka menyusup dan memperluas kehadirannya di seluruh jaringan target.
Tim penjahat siber yang disponsori negara sering kali melakukan serangan APT untuk mengakses informasi sensitif negara lain, atau kekayaan intelektual organisasi besar. Meskipun awalnya mereka mungkin menggunakan teknik rekayasa sosial tradisional, para pelaku ancaman ini dikenal karena menyesuaikan alat dan metode canggih untuk mengeksploitasi kerentanan unik organisasi tertentu. Serangan APT yang berhasil dapat berlangsung berbulan-bulan atau bahkan bertahun-tahun.
Membongkar statistik utama dari laporan Biaya Pelanggaran Data
Kelompok APT sering kali mendapatkan akses awal ke jaringan target mereka melalui rekayasa sosial dan phishing tombak. Dengan menggunakan intelijen yang dikumpulkan dari sumber-sumber di dalam dan di luar organisasi, penyerang APT akan membuat email phishing tombak yang canggih yang meyakinkan para eksekutif atau pemimpin senior untuk mengklik tautan berbahaya. Penyerang juga dapat mengejar titik masuk lain dan permukaan serangan untuk menembus jaringan. Misalnya, mereka dapat meluncurkan serangan zero-day pada kerentanan yang belum ditambal dalam aplikasi web, atau menyematkan malware di situs web publik yang biasanya dikunjungi karyawan.
Setelah penyusupan awal, kelompok APT akan mengeksplorasi dan memetakan jaringan untuk menentukan langkah terbaik berikutnya untuk pergerakan lateral di seluruh organisasi. Dengan memasang serangkaian pintu belakang, yang memungkinkan mereka mengakses jaringan dari beberapa titik masuk, mereka dapat terus melakukan pengintaian dan menginstal malware tersembunyi. Mereka juga dapat mencoba memecahkan kata sandi dan mendapatkan hak administratif untuk mengamankan area di mana data sensitif berada. Yang paling penting, penyerang akan membuat koneksi ke server perintah dan kontrol eksternal untuk manajemen jarak jauh dari sistem yang diretas.
Untuk mempersiapkan diri menghadapi pencurian data yang pertama kali terjadi, grup APT akan memindahkan informasi yang telah mereka kumpulkan dari waktu ke waktu ke lokasi yang terpusat dan aman di dalam jaringan. Mereka juga dapat mengenkripsi dan mengompres data untuk eksfiltrasi yang lebih mudah. Kemudian, untuk mengalihkan perhatian personel keamanan dan mengalihkan sumber daya, mereka dapat melakukan peristiwa “white noise” seperti serangan Denial-of-service terdistribusi (DDoS). Pada titik ini, mereka dapat mentransfer data yang dicuri ke server eksternal tanpa terdeteksi.
Kelompok APT dapat tetap berada di dalam jaringan yang telah dibobol untuk waktu yang lama atau tanpa batas waktu, karena mereka menunggu kesempatan baru untuk melakukan serangan. Selama waktu ini, mereka dapat mempertahankan keberadaan mereka yang tersembunyi dengan menulis ulang kode untuk menyembunyikan malware dan menginstal rootkit yang menyediakan akses ke sistem sensitif tanpa terdeteksi. Dalam beberapa kasus, mereka mungkin menghapus bukti serangan dan meninggalkan jaringan sepenuhnya setelah mereka mencapai tujuannya.
Dengan menggunakan email phishing yang didistribusikan secara luas, email phishing tombak yang sangat dipersonalisasi, atau taktik manipulasi sosial lainnya, kelompok APT meyakinkan pengguna untuk mengklik tautan berbahaya atau mengungkapkan informasi yang memberikan akses ke sistem yang dilindungi.
Dengan menerapkan shellcode berbahaya yang memindai jaringan untuk mencari kerentanan perangkat lunak yang belum ditambal, kelompok APT dapat mengeksploitasi area kelemahan sebelum administrator IT dapat bereaksi.
Grup APT dapat menargetkan mitra bisnis, teknologi, atau vendor tepercaya dari suatu organisasi untuk mendapatkan akses tidak sah melalui rantai pasokan perangkat lunak atau perangkat keras bersama.
Dengan kemampuan untuk menyediakan akses tersembunyi, pintu belakang ke sistem yang dilindungi, rootkit adalah alat yang berharga untuk membantu grup APT menyembunyikan dan mengelola operasi jarak jauh.
Setelah kelompok APT mendapatkan pijakan di jaringan yang dibobol, mereka membuat koneksi ke server eksternal mereka sendiri untuk mengelola serangan dari jarak jauh dan mengeksfiltrasi data sensitif.
Kelompok APT dapat menggunakan serangkaian alat lain untuk memperluas dan menyembunyikan keberadaan mereka di seluruh jaringan seperti worm, keylogging, bot, pembobolan kata sandi, spyware, dan pengaburan kode.
Dikenal dengan email phishing tombak yang sangat meyakinkan dan telah diteliti dengan baik, Helix Kitten diduga beroperasi di bawah pengawasan pemerintah Iran. Grup ini terutama menargetkan perusahaan-perusahaan di Timur Tengah di berbagai industri seperti kedirgantaraan, telekomunikasi, jasa keuangan, energi, kimia, dan perhotelan. Para analis percaya serangan ini dimaksudkan untuk menguntungkan kepentingan ekonomi, militer dan politik Iran.
Wicked Panda adalah kelompok APT yang terkenal dan produktif yang berbasis di Tiongkok yang diduga memiliki hubungan dengan Kementerian Keamanan Negara Tiongkok dan Partai Komunis Tiongkok. Selain melakukan spionase siber, anggota kelompok ini juga dikenal suka menyerang perusahaan untuk mendapatkan keuntungan finansial. Mereka diyakini bertanggung jawab atas peretasan ke dalam rantai pasokan perawatan kesehatan, mencuri data sensitif dari perusahaan bioteknologi, dan pencurian pembayaran bantuan COVID-19 di Amerika Serikat.
Stuxnet adalah worm komputer yang digunakan untuk mengganggu program nuklir Iran dengan menargetkan sistem kontrol pengawasan dan akuisisi data (SCADA). Meskipun saat ini sudah tidak aktif lagi, ancaman ini dianggap sebagai ancaman yang sangat efektif ketika ditemukan pada tahun 2010, menyebabkan kerusakan yang signifikan pada targetnya. Para analis percaya bahwa Stuxnet dikembangkan bersama oleh Amerika Serikat dan Israel, meskipun tidak ada satu pun negara yang secara terbuka mengaku bertanggung jawab.
Lazarus Group adalah grup APT yang berbasis di Korea Utara yang diyakini bertanggung jawab atas pencurian ratusan juta dolar dalam mata uang virtual. Menurut Departemen Kehakiman AS, kejahatan tersebut adalah bagian dari strategi untuk merusak keamanan siber global dan menghasilkan pendapatan bagi pemerintah Korea Utara. Pada tahun 2023, FBI AS menuduh Lazarus Group mencuri mata uang virtual senilai 41 juta USD dari kasino online.
Karena serangan APT dirancang untuk meniru operasi jaringan normal, mereka bisa sulit dideteksi. Para pakar merekomendasikan beberapa pertanyaan yang harus ditanyakan tim keamanan jika mereka mencurigai mereka telah menjadi sasaran.
Pelaku ancaman APT menargetkan akun pengguna bernilai tinggi dengan akses istimewa ke informasi sensitif. Akun ini mungkin mengalami volume login yang luar biasa tinggi selama serangan. Dan karena grup APT sering beroperasi di zona waktu yang berbeda, login ini dapat terjadi larut malam. Organisasi dapat menggunakan alat bantu seperti deteksi dan respons titik akhir(EDR)) atau analisis perilaku pengguna dan entitas(UEBA) untuk menganalisis dan mengidentifikasi aktivitas yang tidak biasa atau mencurigakan pada akun pengguna.
Sebagian besar lingkungan IT mengalami Trojan pintu belakang, tetapi selama serangan APT kehadiran mereka dapat menyebar luas. Kelompok APT mengandalkan Trojan pintu belakang sebagai cadangan untuk masuk kembali ke sistem yang disusupi setelah sistem tersebut ditembus.
Penyimpangan yang signifikan dari garis dasar normal dari aktivitas transfer data mungkin menyarankan serangan APT. Hal ini dapat mencakup peningkatan mendadak dalam operasi basis data dan transfer internal atau eksternal sejumlah besar informasi. Alat yang memantau dan menganalisis log peristiwa dari sumber data, seperti informasi keamanan dan manajemen peristiwa (SIEM) atau deteksi dan respons jaringan (NDR), dapat membantu untuk menandai insiden ini.
Grup APT biasanya mengumpulkan data dalam jumlah besar dari seluruh jaringan, dan memindahkan informasi tersebut ke lokasi pusat sebelum dieksfiltrasi. Kumpulan data dalam jumlah besar di lokasi yang tidak biasa, terutama jika data tersebut dalam format terkompresi, dapat mengindikasikan serangan APT.
Serangan spear phishing yang menargetkan sejumlah kecil pemimpin tingkat tinggi adalah taktik umum di antara kelompok APT. Email ini sering berisi informasi rahasia dan menggunakan format dokumen seperti Microsoft Word atau Adobe Acrobat PDF untuk meluncurkan perangkat lunak berbahaya. Alat pemantauan integritas file (FIM) dapat membantu organisasi mendeteksi apakah aset TI penting telah dirusak karena malware yang disematkan dalam email spear phishing.
Ada beberapa langkah keamanan yang dapat diambil organisasi untuk mengurangi risiko peretas APT mendapatkan akses tidak sah ke sistem mereka. Karena kelompok APT terus mengadaptasi metode baru untuk setiap vektor serangan, para pakar merekomendasikan pendekatan yang luas yang menggabungkan berbagai solusi dan strategi keamanan, termasuk:
Temukan wawasan yang dapat ditindaklanjuti yang membantu Anda memahami cara pelaku ancaman melancarkan serangan,—dan cara melindungi organisasi Anda secara proaktif.
Manajemen ancaman adalah proses yang digunakan oleh para profesional keamanan siber untuk mencegah serangan siber, mendeteksi ancaman siber, dan merespons insiden keamanan.
Pelaku ancaman, juga dikenal sebagai pelaku ancaman siber atau pelaku jahat, adalah individu atau kelompok yang dengan sengaja menyebabkan kerusakan pada perangkat atau sistem digital.