advanced persistent threat (APT)

Apa itu Advanced Persistent Threat (APT)?

Advanced persistent threat (APT) atau Ancaman Tingkat Lanjut adalah serangan siber yang berlangsung lama dan ditargetkan secara spesifik, di mana seorang penyusup mendapatkan akses ke jaringan dan tetap tidak terdeteksi dalam jangka waktu yang lama.

Serangan APT biasanya dilakukan untuk mencuri data yang sangat sensitif, bukan untuk merusak jaringan organisasi target. Tujuan utama dari sebagian besar serangan APT adalah memperoleh dan mempertahankan akses berkelanjutan ke jaringan target, bukan sekadar masuk dan keluar secepat mungkin.

Berbeda dengan ransomware as a service atau serangan siber lainnya, APT dilakukan secara manual dengan perencanaan yang sangat teliti. Karena pelaksanaannya membutuhkan banyak usaha dan sumber daya, pelaku APT biasanya memilih target bernilai tinggi, seperti organisasi besar, untuk mencuri informasi dalam jangka panjang. Oleh karena itu, serangan APT umumnya dilakukan oleh kelompok cybercriminal yang didukung negara, bukan oleh hacker individu.

Teknik Apa Saja yang Digunakan dalam Serangan APT?

Untuk mendapatkan akses, kelompok APT biasanya menggunakan berbagai metode serangan tingkat lanjut, termasuk teknik rekayasa sosial (social engineering). Untuk tetap bisa mengakses jaringan tanpa terdeteksi, pelaku APT akan terus-menerus menulis ulang kode berbahaya dan menggunakan teknik pengelakan canggih lainnya. Bahkan, beberapa serangan APT begitu kompleks sehingga membutuhkan administrator penuh waktu untuk mengelola sistem dan software yang telah mereka kompromikan.

Teknik umum yang digunakan dalam serangan APT antara lain:

  • Spear phishing. Pelaku APT sering menggunakan email spear phishing yang sangat ditargetkan untuk mengelabui korban agar memberikan informasi pribadi atau mengklik tautan berbahaya yang bisa mengeksekusi kode jahat ke dalam sistem mereka. Email semacam ini biasanya ditulis dengan sangat meyakinkan dan disesuaikan dengan penerimanya.
  • Eksploitasi zero-day. Pelaku APT sering mengeksploitasi kerentanan zero-day pada software atau perangkat keras yang baru ditemukan namun belum ditambal. Dengan mengeksploitasi kerentanan ini sebelum diperbaiki, mereka bisa memperoleh akses ilegal dengan mudah.
  • Watering hole attack. Dalam teknik ini, pelaku APT menyusupi situs web yang sering dikunjungi target. Dengan menyuntikkan kode berbahaya ke situs tersebut, mereka bisa menginfeksi perangkat pengunjung secara diam-diam.
  • Serangan rantai pasokan (supply chain attack). Serangan ini menargetkan rantai pasokan organisasi, yaitu dengan menginfeksi software atau hardware sebelum sampai ke pengguna akhir. Ini memungkinkan pelaku APT untuk menyusup ke jaringan korban.
  • Pencurian kredensial. Teknik seperti keylogger, password cracking, dan phishing digunakan untuk memperoleh username dan password. Setelah mendapatkan kredensial yang valid, pelaku bisa menjelajahi jaringan secara lateral untuk mencuri data sensitif.
  • Command-and-control (C&C) server. Dengan menggunakan server C&C, pelaku APT membuat jalur komunikasi antara sistem yang diretas dan jaringan mereka. Ini memungkinkan mereka untuk tetap mengendalikan jaringan yang sudah dikompromikan dan mengekstrak data.
  • Strategi pengelakan. Agar tidak terdeteksi sistem keamanan, pelaku APT sering menyamarkan aksinya menggunakan tools dan proses yang sah, obfuscation kode, dan teknik anti-analisis.

Apa Motif dan Target Utama Serangan APT?

Motif dari pelaku advanced persistent threat bisa sangat beragam. Misalnya, penyerang yang disponsori negara mungkin menargetkan hak kekayaan intelektual (IP) atau data rahasia untuk mendapatkan keunggulan di industri tertentu. Sektor yang sering menjadi sasaran antara lain distribusi listrik, utilitas telekomunikasi dan infrastruktur lainnya, media sosial, organisasi media, sektor keuangan, teknologi tinggi, dan lembaga pemerintah. Kelompok kejahatan terorganisir juga bisa menyponsori serangan APT untuk memperoleh informasi yang bisa digunakan untuk kejahatan demi keuntungan finansial.

Meskipun serangan APT sulit dikenali, pencurian data hampir tidak pernah sepenuhnya tak terdeteksi. Sering kali, proses eksfiltrasi data menjadi satu-satunya petunjuk bahwa jaringan sedang disusupi. Profesional keamanan siber biasanya berfokus pada deteksi anomali dalam lalu lintas data keluar untuk mendeteksi serangan APT.

Tahapan Serangan APT

Pelaku APT biasanya menjalankan serangan dalam beberapa tahapan berikut untuk memperoleh dan mempertahankan akses ke target:

  1. Mendapatkan akses. Kelompok APT memperoleh akses ke jaringan target melalui internet, biasanya dengan mengirim email spear phishing atau mengeksploitasi celah keamanan aplikasi.
  2. Membangun pijakan. Setelah mendapatkan akses, pelaku melakukan pengintaian lanjutan. Mereka menggunakan malware untuk membangun jaringan backdoor dan tunnel agar bisa bergerak secara tersembunyi.
  3. Menyamarkan jejak. APT menggunakan teknik malware canggih seperti penulisan ulang kode untuk menyembunyikan aktivitas mereka dari deteksi sistem keamanan.
  4. Memperluas akses. Setelah berada di dalam jaringan, pelaku akan berusaha mendapatkan hak administrator dengan teknik seperti cracking password. Ini memungkinkan mereka mengendalikan sistem dengan lebih dalam.
  5. Bergerak secara lateral. Setelah memperoleh hak istimewa, pelaku bisa berpindah ke server lain atau area sensitif dalam jaringan organisasi secara bebas.
  6. Menyiapkan serangan utama. Di tahap ini, data yang telah dikumpulkan akan dikonsolidasikan, dienkripsi, dan dikompresi sebelum diekstrak.
  7. Mengambil data. Data yang telah dikumpulkan kemudian diekstraksi dan dipindahkan ke sistem pelaku.
  8. Tetap tinggal sampai terdeteksi. Pelaku akan mengulang proses ini selama mungkin sampai mereka terdeteksi, atau mereka bisa membuat backdoor agar bisa kembali lagi nanti.

Contoh Ancaman Persisten Tingkat Lanjut (APT)

APT biasanya diberi nama oleh organisasi yang pertama kali menemukannya, meskipun banyak serangan APT yang ditemukan oleh lebih dari satu peneliti, jadi beberapa dikenal dengan lebih dari satu nama.

Ancaman persisten tingkat lanjut telah terdeteksi sejak awal tahun 2000-an, dan bahkan sudah ada sejak tahun 2003 saat peretas asal Tiongkok menjalankan kampanye “Titan Rain” terhadap target pemerintah AS untuk mencuri rahasia negara yang sensitif. Para penyerang menargetkan data militer dan meluncurkan serangan APT terhadap sistem kelas atas milik lembaga pemerintah AS, termasuk NASA dan FBI. Analis keamanan menunjuk Tentara Pembebasan Rakyat Tiongkok sebagai dalang dari serangan ini.

Contoh ancaman persisten tingkat lanjut antara lain:

  • Gelsemium menargetkan pemerintahan Asia Tenggara selama enam bulan antara tahun 2022 dan 2023. Kelompok spionase siber ini telah beroperasi sejak 2014. Mereka awalnya mengeksploitasi target dengan menginstal web shell untuk melakukan pengintaian dasar.
  • APT41 menargetkan informasi hak milik perusahaan teknologi dan manufaktur lewat malware, termasuk rootkit level kernel yang ditandatangani secara digital. Kelompok yang terkait dengan negara Tiongkok ini, juga dikenal sebagai Winnti, menargetkan perusahaan di Asia Timur, Eropa Barat, dan Amerika Utara setidaknya sejak 2019 hingga 2021.
  • APT37, juga dikenal sebagai Reaper, ScarCruft, dan Group123, adalah APT yang dikaitkan dengan Korea Utara dan diperkirakan muncul sekitar tahun 2012. APT37 dikaitkan dengan serangan spear phishing yang mengeksploitasi celah keamanan zero-day di Adobe Flash.
  • APT34, kelompok APT yang dikaitkan dengan Iran, diidentifikasi pada tahun 2017 oleh peneliti dari FireEye (sekarang Trellix), namun telah aktif setidaknya sejak 2014. Kelompok ini menargetkan perusahaan-perusahaan di Timur Tengah, dengan serangan terkini terhadap sektor keuangan, pemerintahan, energi, kimia, dan telekomunikasi.
  • APT32, kelompok APT asal Vietnam yang juga dikenal sebagai OceanLotus, SeaLotus, dan Cobalt Kitty, telah aktif setidaknya sejak 2014. Mereka fokus pada organisasi di Asia Tenggara, khususnya yang memiliki keterkaitan dengan politik atau ekonomi di kawasan tersebut. APT32 terlibat dalam operasi spionase, menargetkan perusahaan sektor swasta, media, dan lembaga pemerintahan.
  • APT29, kelompok APT asal Rusia yang juga dikenal sebagai Cozy Bear, dikaitkan dengan beberapa serangan termasuk serangan spear phishing terhadap Pentagon pada tahun 2015 dan serangan terhadap Komite Nasional Demokrat pada tahun 2016.
  • APT28, kelompok APT asal Rusia lainnya yang juga dikenal sebagai Fancy Bear, Pawn Storm, Sofacy Group, dan Sednit Gang, diidentifikasi pada tahun 2014 oleh peneliti Trend Micro. APT28 dikaitkan dengan serangan terhadap target militer dan pemerintahan di Eropa Timur, termasuk Ukraina dan Georgia, serta kampanye yang menargetkan NATO dan kontraktor pertahanan AS.
  • Keluarga malware APT Sykipot mengeksploitasi celah di Adobe Reader dan Acrobat. Malware ini terdeteksi pertama kali pada tahun 2006, dan serangan lebih lanjut dengan malware ini terus berlanjut hingga tahun 2013. Pelaku menggunakan spear phishing yang berisi tautan dan lampiran berbahaya dengan exploit zero-day dalam email yang ditargetkan.
  • Operasi spionase siber GhostNet ditemukan pada tahun 2009. Serangan ini berasal dari Tiongkok dan dimulai melalui email spear phishing yang mengandung lampiran berbahaya. Serangan ini mengompromikan komputer di lebih dari 100 negara. Para peretas menargetkan perangkat jaringan kementerian dan kedutaan besar, dan bahkan bisa mengontrol perangkat yang dikompromikan, menjadikannya alat penyadap dengan mengaktifkan kamera dan mikrofon secara jarak jauh.
  • Worm Stuxnet yang digunakan untuk menyerang program nuklir Iran pertama kali dideteksi pada tahun 2010. Meskipun Stuxnet tidak lagi dianggap sebagai ancaman saat ini, worm ini masih dianggap sebagai salah satu malware paling canggih yang pernah ditemukan. Malware ini menargetkan sistem SCADA (supervisory control and data acquisition) dan menyebar melalui perangkat USB yang telah terinfeksi. Amerika Serikat dan Israel disebut-sebut sebagai pengembang Stuxnet, meskipun belum ada pengakuan resmi dari kedua negara, namun ada beberapa konfirmasi tidak resmi.

Karakteristik Ancaman Persisten Tingkat Lanjut

APT biasanya punya ciri khas tertentu yang mencerminkan tingkat koordinasi tinggi yang diperlukan untuk menembus target dengan nilai tinggi.

Ciri umum dari APT meliputi:

  • Bertahap. Sebagian besar APT dilakukan dalam beberapa fase, mengikuti urutan dasar seperti mendapatkan akses, mempertahankan dan memperluas akses, serta berusaha tetap tidak terdeteksi sampai tujuan tercapai.
  • Banyak titik kompromi. APT juga dikenal karena berusaha membangun banyak titik masuk ke jaringan target, sehingga meskipun satu titik terdeteksi dan ditutup, mereka tetap punya akses cadangan lainnya.
  • Tujuan dan sasaran spesifik. APT biasanya punya misi tertentu, tergantung siapa pelakunya. Bisa saja untuk spionase, mempengaruhi politik, mencuri data rahasia, informasi finansial, IP, bahkan mengganggu operasional bisnis.
  • Waktu serangan panjang. Kalau serangan siber biasa seperti ransomware berlangsung dalam hitungan hari atau minggu, APT bisa bertahan berbulan-bulan bahkan bertahun-tahun.
  • Terkordinasi dan punya banyak sumber daya. APT sering dilakukan oleh aktor dengan dana dan organisasi yang kuat, seperti negara, geng kriminal terorganisir, atau kelompok hacker profesional. Mereka bisa bikin tools sendiri, melakukan pengintaian dalam, dan merancang serangan kompleks.
  • Mahal untuk dijalankan. Pengembangan dan peluncuran APT bisa menghabiskan biaya jutaan dolar. Biasanya hanya perusahaan besar atau kelompok kriminal dengan dana kuat yang mampu melakukannya, karena jenis serangan ini adalah salah satu yang paling mahal dalam kejahatan siber.
  • Titik masuk redundan. Begitu APT berhasil masuk, biasanya mereka bikin banyak koneksi ke server pusatnya, supaya bisa mengirim malware tambahan. Ini bikin mereka tetap punya jalan masuk walau satu jalur sudah ditutup oleh admin jaringan.

Deteksi Ancaman Persisten Tingkat Lanjut

Walau sulit dideteksi, APT tetap meninggalkan beberapa tanda-tanda. Organisasi bisa mencurigai adanya APT jika mendeteksi gejala-gejala berikut:

  • Aktivitas tidak biasa pada akun pengguna.
  • Penggunaan backdoor Trojan horse secara luas, yaitu metode yang digunakan APT untuk mempertahankan akses.
  • Aktivitas database yang aneh atau tidak wajar, seperti lonjakan operasi database yang melibatkan data dalam jumlah besar.
  • Peningkatan jumlah email spear phishing yang ditargetkan.
  • Kehadiran file data yang tidak biasa atau kumpulan file besar di lokasi yang mencurigakan, yang mungkin menandakan persiapan proses pencurian data (exfiltration).

Mendeteksi anomali pada lalu lintas data keluar (outbound traffic) mungkin adalah cara terbaik bagi profesional keamanan untuk mengetahui apakah jaringan telah jadi target serangan APT.

Langkah Keamanan terhadap APT

Untuk mencegah dan mengurangi risiko APT, tim keamanan harus menerapkan strategi menyeluruh. Langkah-langkah utama meliputi:

  • Menambal celah keamanan pada perangkat lunak jaringan dan OS. Patch secepat mungkin agar celah yang diketahui tidak dieksploitasi penyerang.
  • Amankan koneksi jarak jauh. Koneksi remote harus dienkripsi agar tidak bisa dimanfaatkan pihak tidak sah.
  • Filter email masuk. Filtering ini penting buat mencegah spam dan serangan phishing yang bisa masuk ke jaringan.
  • Pencatatan log insiden secara cepat. Mencatat insiden keamanan secepat mungkin bisa membantu menyempurnakan daftar allowlist dan kebijakan keamanan lainnya.
  • Pemantauan lalu lintas secara real-time. Perusahaan sebaiknya mengawasi lalu lintas masuk dan keluar secara ketat agar bisa menghentikan pemasangan backdoor atau pencurian data.
  • Memasang Web Application Firewall (WAF). Pemasangan WAF di endpoint dan edge network bisa membantu melindungi server dan aplikasi web dari infiltrasi.
Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *