Laporan baru Kaspersky memberikan pandangan perusahaan mengenai lanskap ancaman lanjutan yang terus-menerus pada tahun 2024. Teknik APT yang ada akan terus digunakan, dan teknik baru kemungkinan akan muncul, seperti peningkatan penggunaan AI, hacktivism, dan penargetan teknologi rumah pintar. Botnet dan rootkit baru juga kemungkinan akan muncul, dan layanan yang disewa oleh peretas mungkin akan meningkat, begitu pula serangan rantai pasokan, yang mungkin disediakan sebagai layanan di forum bawah tanah penjahat dunia maya.
Langsung ke:
Lebih banyak eksploitasi perangkat seluler dan teknologi rumah pintar
Operasi Triangulasi, sebagaimana terungkap pada tahun lalu, mengungkapkan kampanye spionase siber yang sangat canggih yang sebagian besar dioperasikan dengan menargetkan perangkat iOS dan memanfaatkan lima kerentanan — termasuk empat kerentanan zero-day.
Karakteristik yang luar biasa dari eksploitasi tersebut adalah bahwa eksploitasi tersebut tidak hanya menargetkan ponsel pintar Apple, namun juga tablet, laptop, perangkat wearable, Apple TV, dan perangkat Apple Watch dan mungkin digunakan untuk menguping.
Igor Kuznetsov, direktur, Tim Riset dan Analisis Global di Kaspersky, mengatakan kepada TechRepublic dalam sebuah wawancara tertulis: “Malware memang dapat digunakan untuk menguping. Contoh terkini adalah modul perekam mikrofon dalam Operasi Triangulasi. Fitur-fiturnya tidak terbatas pada yang diharapkan, seperti berapa lama perekaman; ini mencakup fungsi-fungsi canggih seperti menghentikan perekaman saat layar perangkat aktif atau menghentikan perekaman saat log sistem diambil.”
Menurut Kaspersky, penyerang APT mungkin memperluas upaya pengawasan mereka dengan memasukkan lebih banyak perangkat teknologi rumah pintar, seperti kamera rumah pintar dan sistem mobil yang terhubung. Hal ini sangat menarik bagi penyerang karena perangkat tersebut sering kali tidak terkontrol, tidak diperbarui atau ditambal, dan dapat mengalami kesalahan konfigurasi. Hal ini juga menjadi kekhawatiran karena saat ini semakin banyak orang yang bekerja dari rumah, dan perusahaan mereka dapat menjadi sasaran melalui titik lemah pada perangkat pekerja rumahan.
Botnet baru akan muncul
Botnet biasanya lebih umum dalam aktivitas kejahatan dunia maya dibandingkan dengan APT, namun Kaspersky memperkirakan botnet akan mulai lebih sering menggunakannya.
Alasan pertama adalah untuk menambah kebingungan bagi pihak pertahanan. Serangan yang memanfaatkan botnet mungkin “mengaburkan sifat serangan yang ditargetkan di balik serangan yang tampaknya meluas,” menurut para peneliti. Dalam hal ini, para pembela HAM mungkin akan merasa lebih sulit untuk mengaitkan serangan tersebut dengan pelaku ancaman dan mungkin percaya bahwa mereka menghadapi serangan umum yang tersebar luas.
Alasan kedua adalah untuk menutupi infrastruktur penyerang. Botnet dapat bertindak sebagai jaringan proxy, tetapi juga sebagai server komando dan kontrol perantara.
Kaspersky menyebutkan kasus ZuoRAT yang mengeksploitasi router kantor kecil/kantor rumah untuk menginfeksi perangkat dengan malware dan diperkirakan akan melihat serangan baru semacam ini pada tahun 2024.
Lebih banyak kode tingkat kernel akan diterapkan
Microsoft meningkatkan perlindungan Windows terhadap rootkit, yaitu potongan kode berbahaya yang menjalankan kode di tingkat kernel, dengan sejumlah langkah keamanan seperti Penandatanganan Kode Mode Kernel atau arsitektur Kernel Aman, dan lain-lain.
Dari sudut pandang penyerang, menjalankan kode pada tingkat kernel menjadi lebih sulit tetapi tetap memungkinkan. Kaspersky telah melihat banyak pelaku APT dan ancaman kejahatan dunia maya mengeksekusi kode dalam mode kernel pada sistem yang ditargetkan, meskipun ada semua langkah keamanan baru dari Microsoft. Contoh terbaru termasuk rootkit Netfilter, rootkit FiveSys, dan malware POORTRY.
Kaspersky yakin ada tiga faktor yang akan memberdayakan pelaku ancaman dengan kemampuan menjalankan kode tingkat kernel dalam sistem operasi Windows:
- Sertifikat validasi yang diperluas dan sertifikat penandatanganan kode yang dicuri akan semakin banyak tersebar/dijual di pasar bawah tanah.
- Lebih banyak penyalahgunaan akun pengembang untuk mendapatkan kode berbahaya yang ditandatangani melalui layanan penandatanganan kode Microsoft seperti Program Kompatibilitas Perangkat Keras Windows.
- Peningkatan serangan BYOVD (Bring Your Own Vulnerable Driver) di gudang senjata pelaku ancaman
Lebih banyak hacktivisme yang terkait dengan APT
Kaspersky menyatakan bahwa “sulit membayangkan konflik di masa depan tanpa keterlibatan hacktivist,” yang dapat dilakukan dengan beberapa cara. Serangan Distributed Denial of Service (Penolakan Layanan Terdistribusi) menjadi semakin umum, seiring dengan klaim peretasan palsu yang mengarah pada penyelidikan yang tidak perlu bagi peneliti keamanan siber dan penangan insiden.
Alat deepfake dan peniruan identitas/disinformasi juga semakin banyak digunakan oleh pelaku ancaman.
Selain itu, operasi destruktif dan mengganggu dapat dilakukan. Penggunaan wiper dalam beberapa konflik politik saat ini atau gangguan kekuasaan di Ukraina adalah contoh bagus dari kedua jenis operasi tersebut.
Serangan rantai pasokan sebagai layanan
Usaha kecil dan menengah sering kali tidak memiliki keamanan yang kuat terhadap serangan APT dan digunakan sebagai pintu gerbang bagi peretas untuk mengakses data dan infrastruktur target sebenarnya.
Sebagai contoh yang mencolok, pelanggaran data Okta, sebuah perusahaan manajemen identitas, pada tahun 2022 dan 2023, berdampak pada lebih dari 18.000 pelanggan di seluruh dunia, yang berpotensi disusupi di kemudian hari.
Kaspersky yakin tren serangan rantai pasokan dapat berkembang dalam berbagai cara. Sebagai permulaan, perangkat lunak sumber terbuka dapat disusupi oleh organisasi sasaran. Kemudian, pasar bawah tanah mungkin memperkenalkan penawaran baru seperti paket akses penuh yang menyediakan akses ke berbagai vendor perangkat lunak atau pemasok layanan TI, yang menawarkan serangan rantai pasokan nyata sebagai sebuah layanan.
Lebih banyak kelompok dalam bisnis hack-for-hire
Kaspersky memperkirakan akan ada lebih banyak kelompok yang bekerja dengan cara yang sama seperti DeathStalker, aktor ancaman terkenal yang menargetkan firma hukum dan perusahaan keuangan, menyediakan layanan peretasan dan bertindak sebagai perantara informasi dibandingkan beroperasi sebagai aktor ancaman APT tradisional, menurut para peneliti.
Beberapa kelompok APT diharapkan memanfaatkan layanan hack-for-hire dan memperluas aktivitas mereka untuk menjual layanan tersebut karena ini mungkin merupakan cara untuk menghasilkan pendapatan guna mempertahankan semua aktivitas spionase dunia maya mereka.
Kuznetsov mengatakan kepada TechRepublic bahwa, “Kami telah melihat aktor APT menargetkan pengembang, misalnya, selama serangan Winnti terhadap perusahaan game. Kelompok peretas ini terkenal karena serangannya yang tepat terhadap perusahaan swasta global, khususnya di bidang game. Tujuan utama mereka adalah mencuri kode sumber untuk proyek game online dan sertifikat digital dari vendor perangkat lunak yang sah. Meskipun hal ini masih bersifat spekulatif pada saat ini, tidak boleh ada hambatan bagi pelaku ancaman tersebut untuk memperluas layanan mereka jika ada permintaan pasar.”
Peningkatan penggunaan AI untuk spearphishing
Peningkatan global dalam penggunaan chatbots dan alat AI generatif telah memberikan manfaat di banyak sektor selama setahun terakhir. Penjahat dunia maya dan pelaku ancaman APT sudah mulai menggunakan AI generatif dalam aktivitas mereka, dengan model bahasa besar yang secara eksplisit dirancang untuk tujuan jahat. Alat AI generatif ini tidak memiliki batasan etis dan batasan konten yang melekat pada implementasi AI asli.
Penjahat dunia maya menemukan bahwa alat tersebut memfasilitasi produksi massal konten email spearphishing, yang sering digunakan sebagai vektor infeksi awal ketika menargetkan organisasi. Pesan yang ditulis oleh alat ini lebih persuasif dan ditulis dengan baik jika dibandingkan dengan pesan yang ditulis oleh penjahat dunia maya. Mungkin juga meniru gaya penulisan individu tertentu.
Kaspersky mengharapkan penyerang untuk mengembangkan metode baru untuk mengotomatiskan spionase dunia maya. Salah satu caranya adalah dengan mengotomatiskan pengumpulan informasi terkait korban di setiap aspek kehadiran online mereka: media sosial, situs web, dan lainnya, selama informasi tersebut berkaitan dengan identitas korban.
Penargetan sistem MFT akan berkembang
Sistem Transfer File Terkelola telah menjadi keharusan bagi banyak organisasi untuk mentransfer data dengan aman, termasuk kekayaan intelektual atau catatan keuangan.
Pada tahun 2023, serangan terhadap MOVEit dan GoAnywhere mengungkapkan bahwa pelaku ransomware sangat tertarik untuk menargetkan sistem tersebut, namun pelaku ancaman lain mungkin juga tertarik untuk menyusupi MFT.
Seperti yang disebutkan oleh Kaspersky, “arsitektur sistem MFT yang rumit, ditambah dengan integrasinya ke dalam jaringan bisnis yang lebih luas, berpotensi menampung kelemahan keamanan yang siap untuk dieksploitasi. Ketika musuh siber terus mengasah keterampilan mereka, eksploitasi kerentanan dalam sistem MFT diperkirakan akan menjadi vektor ancaman yang lebih nyata.”
Bagaimana melindungi dari ancaman APT ini
Untuk melindungi dari serangan APT, perangkat dan sistem pribadi dan perusahaan perlu dilindungi.
Dalam lingkungan perusahaan, penggunaan solusi seperti deteksi dan respons yang diperluas, informasi keamanan dan manajemen kejadian serta sistem manajemen perangkat seluler sangat membantu mendeteksi ancaman, memusatkan data, mempercepat analisis, dan menghubungkan kejadian keamanan dari berbagai sumber.
Menerapkan kontrol akses yang ketat sangat disarankan. Prinsip hak istimewa paling rendah harus selalu digunakan untuk sumber daya apa pun. Otentikasi multifaktor harus diterapkan jika memungkinkan.
Segmentasi jaringan mungkin membatasi eksplorasi penyerang terhadap jaringan yang disusupi. Sistem kritis khususnya harus benar-benar terisolasi dari jaringan perusahaan lainnya.
Organisasi harus memiliki rencana respons insiden terkini yang akan membantu jika terjadi serangan APT. Rencana tersebut harus berisi langkah-langkah yang harus diambil, serta daftar orang dan layanan yang dapat dihubungi jika terjadi keadaan darurat. Rencana ini harus diuji secara berkala dengan melakukan simulasi serangan.
UNDUH Kebijakan Respons Insiden ini dari TechRepublic Premium
Audit dan penilaian rutin harus dilakukan untuk mengidentifikasi potensi kerentanan dan kelemahan pada infrastruktur perusahaan. Perangkat yang tidak diperlukan atau tidak diketahui yang ditemukan dalam infrastruktur harus dinonaktifkan untuk mengurangi permukaan serangan.
Tim TI harus memiliki akses ke umpan Intelijen Ancaman Cyber yang berisi taktik, teknik, dan prosedur APT terbaru, serta Indikator Kompromi terbaru. Hal ini harus dilakukan terhadap lingkungan perusahaan untuk terus-menerus memeriksa bahwa tidak ada tanda-tanda kompromi dari pelaku ancaman APT.
Kolaborasi dengan rekan-rekan industri juga direkomendasikan untuk meningkatkan pertahanan kolektif terhadap APT dan bertukar praktik dan pemikiran terbaik.
Semua sistem dan perangkat harus diperbarui dan di-patch agar tidak disusupi oleh kerentanan umum.
Pengguna harus dilatih untuk mendeteksi serangan siber, khususnya spearphishing. Mereka juga memerlukan cara mudah untuk melaporkan dugaan penipuan ke departemen TI, seperti tombol yang dapat diklik di klien email atau di browser mereka.
Penyingkapan: Saya bekerja untuk Trend Micro, namun pandangan yang diungkapkan dalam artikel ini adalah milik saya.
