Solarwinds - Advanced Persistent Threat (APT), sebuah serangan strategis dan tersembunyi, memungkinkan penyerang menyusup ke jaringan organisasi menggunakan kombinasi alat, teknik, dan prosedur berbahaya seperti rekayasa sosial, rootkit, dan kit eksploitasi.
Berbeda dengan serangan “hit-and-run”, APT merupakan serangan “low-and-slow” dan terencana dengan motif tersembunyi yaitu mencuri informasi berharga dari sistem atau organisasi target dalam jangka waktu lama tanpa terdeteksi.
Jenis APT
Serangan APT berasal dari sekelompok orang yang dikenal sebagai aktor ancaman. Motif mereka termasuk pencurian kekayaan intelektual dan spionase perusahaan.
Biasanya, para pelaku ini didanai dengan baik oleh organisasi-organisasi besar dan pemerintah negara bagian.
Beberapa grup APT global yang terkenal antara lain:
- Lazarus Group
- Fancy Bear
- Machete
- Elfin.
Istilah "ancaman" dalam APT juga mengacu pada penyusup yang terampil, terselubung, dan canggih yang berspesialisasi dalam melakukan serangan siber yang terorganisir dengan baik terhadap target tertentu, biasanya jaringan pemerintah dan organisasi besar, dan menggunakan vektor serangan seperti:
Social engineering: Salah satu taktik tertua dan sukses yang diterapkan aktor APT untuk mendapatkan akses awal ke jaringan dengan memanipulasi pengguna atau karyawan yang tidak menaruh curiga.
Teknik Social engineering yang populer:
- Phishing: Mengirim email atau pesan teks yang dirancang dengan baik dan tampak autentik untuk menciptakan rasa urgensi, ketakutan, atau keingintahuan di antara target dan dengan demikian, mendorong mereka untuk mengungkapkan informasi sensitif. Grup APT sering kali mengirimkan muatan berbahaya atau ransomware bersamaan dengan email phishing untuk menginfeksi sistem target.
- Spear phishing: Memilih individu atau bisnis tertentu dalam serangan phishing dikenal sebagai spear phishing. Hal ini lebih umum terjadi pada serangan APT karena ukuran kelompok sasarannya terbatas, sehingga meningkatkan kemungkinan eksploitasi tanpa disadari. Pesan yang disusun dengan hati-hati sesuai dengan karakteristik individu yang menjadi sasaran dan posisi pekerjaan membuat serangan tersebut tidak terlalu meragukan. Hal ini memungkinkan pelaku ancaman untuk dengan mudah menangkap kredensial pengguna yang memiliki hak istimewa melalui keylogger setelah mereka mengklik teks atau email yang mencurigakan.
- Rootkit: Program perangkat lunak berbahaya yang memberikan penyerang kendali jarak jauh atas sistem target melalui server perintah-dan-kontrol sambil menyamarkan keberadaannya. Begitu berada di dalam sistem yang terinfeksi, rootkit membuat backdoor bagi grup APT untuk mengakses jaringan organisasi tanpa terdeteksi. Instalasi rootkit bergantung pada vektor serangan umum yang digunakan untuk malware apa pun, seperti kampanye phishing email.
- Exploit Kits: Eksploitasi adalah kode shell yang secara otomatis memindai kerentanan di seluruh sistem target dan, jika ditemukan, menginstal malware untuk melakukan aktivitas yang tidak sah. Exploit kit, di sisi lain, adalah repositori komprehensif dari berbagai eksploitasi. Aktor APT biasanya menyebarkan perangkat eksploitasi di sistem korban melalui situs web dan email berbahaya. Mengklik tautan di situs web atau email yang disusupi akan mengarahkan pengguna ke laman kendali penyerang yang memindai kerentanan perangkat korban untuk melancarkan serangan atau memasang muatan berbahaya.
- Metode lain: Ada banyak cara untuk meluncurkan serangan ancaman persisten tingkat lanjut (APT), seperti terowongan DNS, Wi-Fi jahat, dan unduhan drive-by. Pemilihan vektor serangan APT sangat bergantung pada niat dan strategi serangan pelaku ancaman.
Cara kerja ancaman persisten tingkat lanjut
Pelaku ancaman yang mengeksekusi ancaman tingkat lanjut sering kali menerapkan pendekatan sistematis untuk mengakses jaringan perusahaan.
Di bawah ini diuraikan tahapan serangan APT yang berhasil:
- Initial Access: Grup APT sering kali memulai serangan dengan mengeksploitasi kerentanan di tiga permukaan serangan organisasi: perangkat jaringan, aset web, dan pengguna manusia yang memiliki hak istimewa. Mereka dapat menerapkan berbagai taktik rekayasa sosial seperti email spear phishing untuk infiltrasi awal. Selain itu, penyusup dapat meningkatkan lalu lintas jaringan melalui serangan DDoS untuk mengalihkan perhatian tim keamanan.
- Membangun pijakan: Setelah initial access, penyerang menggunakan shell backdoor, Remote Access Trojan (RAT), atau malware lainnya di sistem yang terinfeksi untuk mendapatkan akses jarak jauh ke jaringan. Membangun koneksi keluar dengan server command and control (CnC) juga penting bagi penyerang pada tahap ini untuk mengendalikan sistem yang disusupi.
- Tingkatkan kontrol dengan gerakan lateral: Penyerang memperluas kehadiran mereka dengan mengeksploitasi lebih banyak kerentanan di dalam jaringan untuk kontrol yang lebih mendalam. Mereka juga menggunakan keylogger dan serangan brute force untuk mendapatkan informasi kata sandi sensitif guna meningkatkan hak istimewa mereka. Membuat backdoor tambahan atau membangun botnet memungkinkan penyerang melakukan gerakan lateral dan merancang strategi serangan yang ideal.
- Tahapan serangan: Pengintaian internal yang mendetail memungkinkan penyerang mengidentifikasi data yang paling berharga; mencuri atau merusaknya dapat mendatangkan malapetaka pada organisasi mana pun. Mereka mengenkripsi, mengompresi, dan mentransfer informasi tersebut ke lokasi yang aman untuk eksfiltrasi pada tahap selanjutnya. Seringkali hal ini membutuhkan waktu karena penyerang ingin membahayakan sistem yang lebih sensitif di luar zona serangan mereka.
- Eksfiltrasi dan jalankan serangan lanjutan: Terakhir, penyerang APT mengekstrak data sensitif di luar batas keamanan organisasi tanpa terdeteksi, sehingga jaringan pun terancam. Taktik seperti penolakan layanan (DoS) diterapkan untuk mengalihkan perhatian tim keamanan selama eksfiltrasi.
Penyerang mungkin memutuskan untuk tetap berada di dalam jaringan jika peristiwa eksfiltrasi tidak terdeteksi. Mereka menunggu peluang untuk melancarkan serangan berikutnya atau menciptakan backdoor yang kuat yang sulit dideteksi untuk mendapatkan kembali akses ke jaringan perusahaan di masa depan.
Sumber: Solarwinds.com