Beranda Topics Ancaman terus-menerus tingkat lanjut Apa itu ancaman persisten tingkat lanjut?
Jelajahi layanan manajemen ancaman IBM Berlangganan pembaruan topik keamanan
Ilustrasi dengan kolase piktogram awan, ponsel, sidik jari, tanda centang

Diterbitkan: 3 April 2024
Kontributor: Gregg Lindemulder, Amber Forrest

Apa itu ancaman persisten tingkat lanjut?

Ancaman persisten tingkat lanjut (APT) adalah serangan siber tidak terdeteksi yang dirancang untuk mencuri data sensitif, melakukan spionase siber, atau menyabotase sistem penting dalam jangka waktu yang lama. Berbeda dengan ancaman siber lain seperti ransomware, tujuan kelompok penyerang APT adalah agar tetap luput dari perhatian saat mereka menyusup dan memperluas kehadirannya di seluruh jaringan target.

Tim penjahat siber yang disponsori negara sering kali melakukan serangan APT untuk mengakses informasi sensitif negara lain, atau kekayaan intelektual organisasi besar. Meskipun awalnya mereka mungkin menggunakan teknik rekayasa sosial tradisional, para pelaku ancaman ini dikenal karena menyesuaikan alat dan metode canggih untuk mengeksploitasi kerentanan unik organisasi tertentu. Serangan APT yang berhasil dapat berlangsung berbulan-bulan atau bahkan bertahun-tahun.

IBM X-Force Exchange
Konten terkait

Membongkar statistik utama dari laporan Biaya Pelanggaran Data

Tahapan serangan APT
Infiltrasi

Kelompok APT sering kali mendapatkan akses awal ke jaringan target mereka melalui rekayasa sosial dan phishing tombak. Dengan menggunakan intelijen yang dikumpulkan dari sumber-sumber di dalam dan di luar organisasi, penyerang APT akan membuat email phishing tombak yang canggih yang meyakinkan para eksekutif atau pemimpin senior untuk mengklik tautan berbahaya. Penyerang juga dapat mengejar titik masuk lain dan permukaan serangan untuk menembus jaringan. Misalnya, mereka dapat meluncurkan serangan zero-day pada kerentanan yang belum ditambal dalam aplikasi web, atau menyematkan malware di situs web publik yang biasanya dikunjungi karyawan.

Eksplorasi dan ekspansi

Setelah penyusupan awal, kelompok APT akan mengeksplorasi dan memetakan jaringan untuk menentukan langkah terbaik berikutnya untuk pergerakan lateral di seluruh organisasi. Dengan memasang serangkaian pintu belakang, yang memungkinkan mereka mengakses jaringan dari beberapa titik masuk, mereka dapat terus melakukan pengintaian dan menginstal malware tersembunyi. Mereka juga dapat mencoba memecahkan kata sandi dan mendapatkan hak administratif untuk mengamankan area di mana data sensitif berada. Yang paling penting, penyerang akan membuat koneksi ke server perintah dan kontrol eksternal untuk manajemen jarak jauh dari sistem yang diretas.

Eksfiltrasi

Untuk mempersiapkan diri menghadapi pencurian data yang pertama kali terjadi, grup APT akan memindahkan informasi yang telah mereka kumpulkan dari waktu ke waktu ke lokasi yang terpusat dan aman di dalam jaringan. Mereka juga dapat mengenkripsi dan mengompres data untuk eksfiltrasi yang lebih mudah. Kemudian, untuk mengalihkan perhatian personel keamanan dan mengalihkan sumber daya, mereka dapat melakukan peristiwa “white noise” seperti serangan Denial-of-service terdistribusi (DDoS). Pada titik ini, mereka dapat mentransfer data yang dicuri ke server eksternal tanpa terdeteksi.

Pemeliharaan

Kelompok APT dapat tetap berada di dalam jaringan yang telah dibobol untuk waktu yang lama atau tanpa batas waktu, karena mereka menunggu kesempatan baru untuk melakukan serangan. Selama waktu ini, mereka dapat mempertahankan keberadaan mereka yang tersembunyi dengan menulis ulang kode untuk menyembunyikan malware dan menginstal rootkit yang menyediakan akses ke sistem sensitif tanpa terdeteksi. Dalam beberapa kasus, mereka mungkin menghapus bukti serangan dan meninggalkan jaringan sepenuhnya setelah mereka mencapai tujuannya.

Teknik serangan APT umum
Rekayasa sosial

Dengan menggunakan email phishing yang didistribusikan secara luas, email phishing tombak yang sangat dipersonalisasi, atau taktik manipulasi sosial lainnya, kelompok APT meyakinkan pengguna untuk mengklik tautan berbahaya atau mengungkapkan informasi yang memberikan akses ke sistem yang dilindungi.

Serangan zero-day

Dengan menerapkan shellcode berbahaya yang memindai jaringan untuk mencari kerentanan perangkat lunak yang belum ditambal, kelompok APT dapat mengeksploitasi area kelemahan sebelum administrator IT dapat bereaksi.

Serangan rantai pasokan

Grup APT dapat menargetkan mitra bisnis, teknologi, atau vendor tepercaya dari suatu organisasi untuk mendapatkan akses tidak sah melalui rantai pasokan perangkat lunak atau perangkat keras bersama.

Rootkit

Dengan kemampuan untuk menyediakan akses tersembunyi, pintu belakang ke sistem yang dilindungi, rootkit adalah alat yang berharga untuk membantu grup APT menyembunyikan dan mengelola operasi jarak jauh.

Server perintah dan kontrol

Setelah kelompok APT mendapatkan pijakan di jaringan yang dibobol, mereka membuat koneksi ke server eksternal mereka sendiri untuk mengelola serangan dari jarak jauh dan mengeksfiltrasi data sensitif.

Teknik lainnya

Kelompok APT dapat menggunakan serangkaian alat lain untuk memperluas dan menyembunyikan keberadaan mereka di seluruh jaringan seperti worm, keylogging, bot, pembobolan kata sandi, spyware, dan pengaburan kode.

Contoh grup APT
APT34 (Helix Kitten)

Dikenal dengan email phishing tombak yang sangat meyakinkan dan telah diteliti dengan baik, Helix Kitten diduga beroperasi di bawah pengawasan pemerintah Iran. Grup ini terutama menargetkan perusahaan-perusahaan di Timur Tengah di berbagai industri seperti kedirgantaraan, telekomunikasi, jasa keuangan, energi, kimia, dan perhotelan. Para analis percaya serangan ini dimaksudkan untuk menguntungkan kepentingan ekonomi, militer dan politik Iran.

APT41 (Wicked Panda)

Wicked Panda adalah kelompok APT yang terkenal dan produktif yang berbasis di Tiongkok yang diduga memiliki hubungan dengan Kementerian Keamanan Negara Tiongkok dan Partai Komunis Tiongkok. Selain melakukan spionase siber, anggota kelompok ini juga dikenal suka menyerang perusahaan untuk mendapatkan keuntungan finansial. Mereka diyakini bertanggung jawab atas peretasan ke dalam rantai pasokan perawatan kesehatan, mencuri data sensitif dari perusahaan bioteknologi, dan pencurian pembayaran bantuan COVID-19 di Amerika Serikat.

Stuxnet

Stuxnet adalah worm komputer yang digunakan untuk mengganggu program nuklir Iran dengan menargetkan sistem kontrol pengawasan dan akuisisi data (SCADA). Meskipun saat ini sudah tidak aktif lagi, ancaman ini dianggap sebagai ancaman yang sangat efektif ketika ditemukan pada tahun 2010, menyebabkan kerusakan yang signifikan pada targetnya. Para analis percaya bahwa Stuxnet dikembangkan bersama oleh Amerika Serikat dan Israel, meskipun tidak ada satu pun negara yang secara terbuka mengaku bertanggung jawab.

Lazarus Group

Lazarus Group adalah grup APT yang berbasis di Korea Utara yang diyakini bertanggung jawab atas pencurian ratusan juta dolar dalam mata uang virtual. Menurut Departemen Kehakiman AS, kejahatan tersebut adalah bagian dari strategi untuk merusak keamanan siber global dan menghasilkan pendapatan bagi pemerintah Korea Utara. Pada tahun 2023, FBI AS menuduh Lazarus Group mencuri mata uang virtual senilai 41 juta USD dari kasino online.

Mendeteksi serangan APT

Karena serangan APT dirancang untuk meniru operasi jaringan normal, mereka bisa sulit dideteksi. Para pakar merekomendasikan beberapa pertanyaan yang harus ditanyakan tim keamanan jika mereka mencurigai mereka telah menjadi sasaran.

Apakah ada aktivitas yang tidak biasa pada akun pengguna?

Pelaku ancaman APT menargetkan akun pengguna bernilai tinggi dengan akses istimewa ke informasi sensitif. Akun ini mungkin mengalami volume login yang luar biasa tinggi selama serangan. Dan karena grup APT sering beroperasi di zona waktu yang berbeda, login ini dapat terjadi larut malam. Organisasi dapat menggunakan alat bantu seperti deteksi dan respons titik akhir(EDR)) atau analisis perilaku pengguna dan entitas(UEBA) untuk menganalisis dan mengidentifikasi aktivitas yang tidak biasa atau mencurigakan pada akun pengguna.

Apakah ada peningkatan yang signifikan dalam Trojan pintu belakang?

Sebagian besar lingkungan IT mengalami Trojan pintu belakang, tetapi selama serangan APT kehadiran mereka dapat menyebar luas. Kelompok APT mengandalkan Trojan pintu belakang sebagai cadangan untuk masuk kembali ke sistem yang disusupi setelah sistem tersebut ditembus.

Apakah ada aktivitas transfer data yang tidak biasa?

Penyimpangan yang signifikan dari garis dasar normal dari aktivitas transfer data mungkin menyarankan serangan APT. Hal ini dapat mencakup peningkatan mendadak dalam operasi basis data dan transfer internal atau eksternal sejumlah besar informasi. Alat yang memantau dan menganalisis log peristiwa dari sumber data, seperti informasi keamanan dan manajemen peristiwa (SIEM) atau deteksi dan respons jaringan (NDR), dapat membantu untuk menandai insiden ini.

Apakah data telah dikumpulkan dan dipindahkan ke lokasi yang tidak biasa?

Grup APT biasanya mengumpulkan data dalam jumlah besar dari seluruh jaringan, dan memindahkan informasi tersebut ke lokasi pusat sebelum dieksfiltrasi. Kumpulan data dalam jumlah besar di lokasi yang tidak biasa, terutama jika data tersebut dalam format terkompresi, dapat mengindikasikan serangan APT.

Apakah eksekutif terpilih telah menerima email phishing tombak?

Serangan spear phishing yang menargetkan sejumlah kecil pemimpin tingkat tinggi adalah taktik umum di antara kelompok APT. Email ini sering berisi informasi rahasia dan menggunakan format dokumen seperti Microsoft Word atau Adobe Acrobat PDF untuk meluncurkan perangkat lunak berbahaya. Alat pemantauan integritas file (FIM) dapat membantu organisasi mendeteksi apakah aset TI penting telah dirusak karena malware yang disematkan dalam email spear phishing.

Melindungi dari serangan APT

Ada beberapa langkah keamanan yang dapat diambil organisasi untuk mengurangi risiko peretas APT mendapatkan akses tidak sah ke sistem mereka. Karena kelompok APT terus mengadaptasi metode baru untuk setiap vektor serangan, para pakar merekomendasikan pendekatan yang luas yang menggabungkan berbagai solusi dan strategi keamanan, termasuk:

 

  • Menambal perangkat lunak untuk melindungi kerentanan jaringan dan sistem operasi dari eksploitasi zero-day.
  • Memantau lalu lintas jaringan secara real time untuk menemukan aktivitas berbahaya seperti pemasangan pintu belakang atau eksfiltrasi data yang dicuri.
  • Menggunakan firewall aplikasi web pada titik akhir jaringan yang menyaring lalu lintas antara aplikasi web dan internet untuk mencegah serangan yang masuk.
  • Menerapkan kontrol akses yang ketat yang mencegah pengguna yang tidak berwenang mengakses sistem dan data yang sensitif atau tingkat tinggi.
  • Melakukan pengujian penetrasi untuk mengidentifikasi area kelemahan dan kerentanan yang dapat dieksploitasi oleh kelompok APT selama serangan.
  • Memanfaatkan intelijen ancaman untuk lebih memahami siklus hidup serangan APT dan merencanakan respons insiden yang efektif jika tampaknya serangan sedang berlangsung.
Solusi terkait
Layanan manajemen kerentanan

Identifikasi, prioritaskan, dan kelola remidiasi kelemahan yang dapat mengekspos aset paling penting Anda.

Jelajahi layanan manajemen kerentanan
Sumber daya Indeks IBM X-Force Threat Intelligence

Temukan wawasan yang dapat ditindaklanjuti yang membantu Anda memahami cara pelaku ancaman melancarkan serangan,—dan cara melindungi organisasi Anda secara proaktif.

Apa yang dimaksud dengan manajemen ancaman?

Manajemen ancaman adalah proses yang digunakan oleh para profesional keamanan siber untuk mencegah serangan siber, mendeteksi ancaman siber, dan merespons insiden keamanan.

Apa yang dimaksud dengan pelaku ancaman?

Pelaku ancaman, juga dikenal sebagai pelaku ancaman siber atau pelaku jahat, adalah individu atau kelompok yang dengan sengaja menyebabkan kerusakan pada perangkat atau sistem digital.

Ambil langkah selanjutnya

Layanan keamanan siber IBM memberikan layanan konsultasi, integrasi, dan keamanan terkelola serta kemampuan ofensif dan defensif. Kami menggabungkan tim pakar global dengan teknologi milik sendiri dan mitra untuk berkreasi bersama menciptakan program keamanan khusus yang mengelola risiko.

Jelajahi layanan keamanan siber