Indonesia Dipantau Intelijen Siber
- Washington Examiner
VIVA Tekno – Tim Intelijen Siber Kaspersky telah menerbitkan studi monumental tentang Taktik, Teknik, dan Prosedur – Ancaman Persisten Tingkat Lanjut (TTP-APT) Asia, yang memberikan informasi paling komprehensif mengenai pendekatan yang diidentifikasi selama penyelidikan.
Studi eksklusif ini dirancang untuk meningkatkan pemahaman tentang cara kerja kelompok APT kontemporer, serta mekanisme pertahanan yang efektif. Mereka lalu menganalisis sekitar seratus insiden yang terjadi di berbagai wilayah di seluruh dunia sejak 2022.
Lalu, Tim Intelijen Siber Kaspersky menggunakan metodologi 'Unified Kill Chain' untuk melakukan studi komprehensif mengenai tindakan para penyerang, berdasarkan pada TTP yang digunakan oleh para penyerang atau kelompok yang dianalisis.
Dalam laporan tersebut, para ahli intelijen siber ini memberikan wawasan mengenai lima insiden spesifik yang terjadi di Rusia dan Belarusia, Indonesia, Malaysia, Argentina, dan Pakistan. Negara-negara tersebut masing-masing mewakili sifat serangan siber yang tersebar secara geografis.
Dari laporan analitik setebal 370 halaman ini, TTP yang digunakan oleh kelompok APT pada setiap tahap proses serangan didokumentasikan dengan cermat.
Selain itu, laporan ini juga menawarkan rekomendasi untuk memerangi serangan tersebut, dan mencakup aturan Sigma yang dapat digunakan untuk mendeteksi serangan tersebut.
Demi memastikan studi ini dapat diakses secara global dan dapat dipahami oleh para peneliti dan pakar keamanan, penelitian ini sangat bergantung pada alat, praktik, dan metodologi analisis ancaman yang terkenal secara internasional, seperti MITRE ATT&CK, F3EAD, David Bianco's Pyramid of Pain, Respons Insiden Berbasis Intelijen, dan 'Unified Cyber Kill Chain'.
Penelitian ini juga mengungkapkan bahwa, meskipun terdapat banyak serangan siber namun jangkauan teknik yang ditemui masih terbatas, sehingga memungkinkan para peneliti untuk menggali lebih dalam analisisnya. Berikut beberapa temuan utama:
• APT Asia tidak menunjukkan bias regional dalam pemilihan target. Korbannya tersebar di seluruh dunia, sehingga menimbulkan tantangan bagi siapa pun yang mencoba mengidentifikasi wilayah mana yang paling sering menjadi sasaran.
Hal ini berarti para penyerang menggunakan taktik yang konsisten di seluruh dunia, menunjukkan kemampuan mereka untuk menggunakan persenjataan yang seragam terhadap berbagai korban.
• Ciri utama dari penyerang ini adalah kemahiran mereka dalam menggunakan kombinasi teknik. Mereka menggunakan 'Buat atau Ubah Proses Sistem (Create or Modify System Process): Teknik Windows Layanan T1543.003,' yang memungkinkan mereka meningkatkan hak istimewa.
Mereka juga menggunakan 'Hijack Execution Flow: DLL Side-Loading T1574.002,' sebuah taktik yang biasa digunakan untuk menghindari deteksi. Kombinasi strategis ini tampaknya menjadi ciri khas kelompok siber di Asia.
• Fokus utama kelompok-kelompok Asia ini adalah spionase dunia maya, sebagaimana dibuktikan dengan upaya mereka mengumpulkan informasi sensitif dan menyalurkannya ke layanan cloud yang sah atau saluran eksternal.
Meskipun hal ini jarang terjadi, ada beberapa contoh di mana kelompok-kelompok ini menyimpang dari pola tersebut, seperti yang terlihat dalam salah satu insiden yang diteliti yang melibatkan penggunaan ransomware dalam serangan tersebut.
• Industri yang paling menjadi sasaran meliputi pemerintahan, industri, kesehatan, teknologi informasi, pertanian, dan energi.
Sistematisasi berbagai TTP yang digunakan oleh penyerang telah mengarah pada pengembangan seperangkat aturan SIGMA yang dibuat dengan cermat, membantu spesialis keamanan dalam mendeteksi potensi serangan siber dalam infrastruktur mereka.
"Dalam dunia keamanan siber, pengetahuan adalah kunci pertahanan. Kami mendorong para pakar dan komunitas keamanan siber menjadi yang terdepan dan melindungi diri dari potensi ancaman siber," ungkap Nikita Nazarov, Kepala Eksplorasi Ancaman Siber Kaspersky.