Ara-genriset.com - Advanced Persistent Threats (APT) mungkin merupakan fenomena yang relatif baru bagi banyak organisasi. Walaupun sebenarnya motif yang melatar belakanginya bukanlah hal yang baru. Yang membedakannya dengan jenis ancaman yang lain utamanya adalah dari aspek perencanaannya, sumber daya yang dialokasikan serta kecanggihan teknik yang digunakan.
Inilah hal baru yang belum ditemukan pada ancaman serangan masa lalu. Ancaman yang luar biasa ini juga menuntut tingkat kewaspadaan, pencegahan dan pengendalian yang luar biasa pula disbanding yang biasa digunakan untuk menghadapi ancaman-ancaman keamanan biasa dari para hacker, virus atau spammer.
Jadi APT itu singkatnya adalah ancaman (threat) keamanan yang canggih (advanced) lagi gigih (persistent). Dulu mungkin banyak organisasi yang punya pengalaman diserang sistem atau infrastrukturnya. Tapi umumnya yang melakukan serangan-serangan tersebut adalah individu-individu, kelompok yang kurang terorganisir, modalnya pas-pasan, atau mungkin juga oleh orang yang sekedar ingin menunjukkan kebolehan atau kemampuannya.
Tapi berbeda dengan APT yang hampir semua serangannya dilakukan oleh kelompok-kelompok yang terorganisir, atau bahkan tak jarang negara berada di belakang kelompok tersebut. Sehingga karenanya serangan ini secara umum lebih terencana, lebih canggih, lebih lengkap sumber dayanya dan potensi dampaknya bisa jauh lebih dahsyat. Tabel berikut merangkum perbedaan antara serangan APT dengan serangan keamanan biasa
| Serangan Keamanan Biasa | Serangan APT | |
|---|---|---|
| Penyerang | Kebanyakan adalah perorangan | Kelompok terorganisir, canggih, dan sumber daya lengkap |
| Target | Tidak tentu, biasanya yang diserang hanya sistem-sistem tertentu | Organisasi-organisasi tertentu, institusi pemerintah, perusahaan-perusahan komersial |
| Tujuan | Manfaat finansial, menunjukkan kemampuan | Keuntungan kompetitif, manfaat-manfaat strategis |
| Pendekatan | Sekali serang dan selesai, jangka waktu pendek | Percobaan dilakukan berulang, mampu bersabar dalam percobaan penyerangan untuk mengenali sistem pertahanan targetnya, jangka waktu yang dibutuhkan lebih panjang |
Cara Kerja APT
Salah satu karakteristik khas dari serangan-serangan APT adalah perencanaan yang dilakukan dengan sangat matang dengan tahapan-tahapan yang dirancang begitu rapi. Setiap serangan APT bisa melakukan teknik dan metode yang berbeda-beda. Namun demikian jika dilihat dari tahapan-tahapan yang dilakukan sebenarnya memiliki pola yang cukup tetap.
Serangan APT pada umumnya dilakukan dalam tahapan-tahapan berikut:
Pertama, Pemilihan target. Tentunya tahapan pertama adalah penyerang mesti menentukan target organisasi, sistem, informasi atau apapun yang menjadi sasaran dari serangan yang akan dilakukan.
Kedua, Riset target. Tahapan berikutnya adalah melakukan riset, pengumpulan informasi mengenai target serangan. Penyerang perlu terlebih dahulu memahami kultur, kebiasaan, struktur organisasi, dan informasi-informasi lain terkait target. Informasi seperti laporan keuangan dan publikasi-publikasi lain mengenai organsiasi target biasanya juga menjadi bahan yang mereka pelajari dengan seksama. Penyerang juga mengumpulkan informasi mengenai hal-hal penting lainnya, seperti alamat IP, email, data-data karyawan, dan lain-lain untuk mendukung serangannya nanti. Biasanya mereka juga menggunakan informasi dari media sosial seperti Facebook, Twitter, Linkedin dan lain-lain untuk melengkapi kebutuhan informasinya.
Ketiga, Penetrasi target. Seringkali usaha yang dilakukan oleh para penyerang untuk mulai masuk ke sistem target ini menggunakan berbagai cara social engineering, seperti spear phising misalnya. Misalnya melalui sebuah email yang dikirimkan ke individu-individu tertentu yang ditarget. Email tersebut nampak seperti berasal dari seseorang yang dipercaya dan berkaitan dengan topik yang sedang diminati oleh sang target. Penyerang tersebut mencoba mempengaruhi agar korbannya tertarik untuk membuka lampiran email atau mengklik link tertentu yang dia siapkan. Jika korban mengikuti kemauan penyerang tersebut, maka ada malware yang akan ditanam di komputer korban untuk dimanfaatkan oleh penyerang pada saatnya nanti.
Keempat, Command and Control. Langkah berikutnya adalah membangun kemampuan “command & control” dengan memanfaatkan malware yang telah ditanam pada penetrasi yang berhasil dilakukan sebelumnya. Obyektif utamanya adalah untuk membangun komunikasi dengan pusat kendali dari tim penyerang. Pada tahap ini, modul-modul tambahan dapat ditanam dan dikonfigurasi lebih lanjut untuk mendukung serangan-serangan berikutnya. Malware yang ditanam tersebut biasanya terdiri atas sejumlah modul yang masing-masing memiliki fungsi dan tugas tertentu. Jadi mungkin ada modul yang berfungsi mencari database atau file tertentu, ada modul yang tugasnya memasok status-status sistem target untuk dikirimkan ke pusat komando, dan lain-sebagainya. Ada modul yang bekerja secara offline, dan ada juga yang hanya bekerja ketika online. Dengan demikian melalui malware yang ditanam ini para penyerang dapat melakukan pencarian secara langsung pada sumber, mengekstrak data, memantau kejadian, serta yang tak kalah pentingnya adalah menghapus jejak-jejak penyerangan.
Kelima, Memperluas jangkauan. Setelah pada tahap sebelumnya penyerang telah berhasil menanam “agen” di lingkungan target, memiliki kemampuan untuk mengendalikannya dari pusat komando, maka yang dilakukan berikutnya adalah memperluas jangkauan pengaruh pada sistem target. Termasuk misalnya melakukan pemetaan jaringan target secara keseluruhan, mengambil data identitas-identitas personal, dan berusaha menaikkan tingkatan hak aksesnya sampai pada tingkatan dapat mengambil alih dan mengendalikan sistem. Pada tahapan ini biasanya mereka juga akan mendeteksi keberadaan aplikasi pemantau yang dapat mendeteksi keberadaan penyusup seperti mereka dalam sistem target.
Keenam, Data exfiltration. Ketika hak akses data sudah didapatkan oleh penyerang, maka data-data yang diinginkan akan dialirkan ke sebuah server internal yang kemudian mereka kompresi dan enkripsi sebelum mereka kirimkan lokasi tertentu yang dipilih. Untuk menutupi jejak mereka, para penyerang biasanya meneruskan data-data tersebut ke lokasi penyerang melalui beberapa situs proxy perantara. Sehingga bisa saja serangan terlihat berasal dari suatu negara, padahal sebenarnya ia dilancarkan dan dikendalikan dari lokasi yang sama sekali berbeda.
Ketujuh, Intelligence dissemination. Diseminasi informasi intelijen ini tidak sesederhana yang mungkin kita bayangkan. Data-data tersebut harus sangat dijaga keamanannya karena kebocoran akan berarti terbongkarnya sumber-sumber serangan, metode yang digunakan, atau bahkan dapat merusak hubungan diplomatik antar negara.
Penerima data intelijen ini haruslah pihak yang amat dapat dipercaya dan jelas. Sistem yang digunakan untuk menampung data tersebut juga harus benar-benar memiliki tingkat keamanan yang sangat tinggi.
Kedelapan, Eksploitasi informasi. Setelah semuanya diamankan, maka mulailah informasi-informasi yang berhasil diambil itu dieksploitasi satu per satu untuk beragam motif yang diinginkan oleh pihak penyerang.
Serangan-serangan APT terus berkembang cepat. Dalam dekade terakhir ini, target-targetnya pun terus bertambah dari Lembaga pemerintahan hingga perusahaan-perusahaan yang mengelola informasi sensitif dan layanan bagi publik.
Malware kini telah dianggap oleh militer sebagai bentuk senjata yang ampuh untuk perang di masa kini. Namun demikian, betapapun risiko serangan tetap akan selalu ada.
Apalagi kalau kita melihat kerentanan dari sisi manusianya. Kesadaran keamanan yang belum baik dan teknik social engineering tetap memungkinkan adanya penyerang yang berhasil memperdayai dan mengambil alih sistem dan infrastruktur organisasi.
Tidak ada manusia yang begitu sempurna kedisiplinan dan kewaspadaannya. Sehingga apabila sistem tidak dapat menekan kemungkinan kesalahan manusia ini, maka risiko serangan APT akan selalu mengintai setiap saat untuk masuk dan merusak.
Posting Komentar