5 Tanda Serangan APT

Advanced Persistent Threat atau APT adalah istilah yang digunakan untuk menggambarkan operasi serangan siber di mana penyusup, atau tim penyusup, membangun keberadaan ilegal jangka panjang di jaringan untuk menambang data yang sangat sensitif. Sasaran serangan ini, yang dipilih dan diteliti dengan sangat hati-hati, biasanya mencakup perusahaan besar atau jaringan pemerintah. Konsekuensi dari ancaman semacam itu sangat luas:

  • Pencurian kekayaan intelektual seperti rahasia dagang atau paten.
  • Informasi sensitif yang dikompromikan misalnya data pribadi karyawan dan pengguna.
  • Penyabotase infrastruktur organisasi yang kritis seperti penghapusan basis data.
  • Total pengambilalihan situs

Menjalankan serangan APT membutuhkan lebih banyak sumber daya daripada serangan aplikasi web standar. Para pelaku biasanya adalah tim penjahat siber berpengalaman yang memiliki dukungan keuangan yang substansial. Motif mereka berupa keuntungan finansial atau spionase politik, beberapa serangan APT bahkan didanai pemerintah dan digunakan sebagai senjata perang siber.

Penggunaan malware APT saat ini lebih canggih dari sebelumnya. Untuk beberapa peretas profesional yang bekerja untuk pemerintah atau industri, pekerjaan mereka adalah untuk meretas perusahaan dan target tertentu. Mereka melakukan tindakan sesuai dengan kepentingan sponsor mereka, yang dapat mencakup mengakses informasi rahasia, menanam kode destruktif, atau menempatkan program backdoor yang memungkinkan mereka untuk menyelinap kembali ke jaringan target atau komputer sesuka mereka.

Mereka juga sangat berhati-hati dengan operasi yang dijalankan karena tentu saja merek atidak ingin aktivitas ilegal tersebut diketahui korban mereka, yang pastinya akan semakin mempersulit misi. Sebagian besar APT menggunakan kode khusus untuk melakukan aktivitasnya, tetapi mereka biasanya lebih suka, menggunakan kerentanan yang diketahui publik untuk melakukan pekerjaan kotor mereka. Dengan begitu, jika kegiatan mereka terlihat, sulit bagi korban untuk menyadari bahwa apakah aktivitas tersebut adalah APT versus program reguler, peretas atau program jahat. Lantas bagaimana mengetahui serangan APT? Berikut pemaparan ESET tentang cara mengenali serangan Advanced Persistent Threat (APT):

Peningkatan Log On

APT dengan cepat meningkat dari mengkompromikan satu komputer menjadi mengambil alih banyak komputer atau seluruh lingkungan hanya dalam beberapa jam. Mereka melakukan ini dengan membaca database otentikasi, mencuri kredensial, dan menggunakannya kembali. Mereka mengetahui akun pengguna (atau layanan) mana yang memiliki hak istimewa dan izin yang lebih tinggi, kemudian masuk ke akun tersebut untuk mengkompromikan aset di lingkungan. Seringkali, volume tinggi log-on terjadi di malam hari karena pelaku tinggal di sisi lain dunia. Jika Anda tiba-tiba melihat volume log-on yang tinggi di beberapa server atau komputer individual bernilai tinggi saat kru kerja ada di rumah, maka berhati-hatilah, saat itu mungkin para peretas APT sedang beraksi.

Backdoor Skala Luas

Peretas APT sering menginstal program Trojan backdoor pada komputer yang dikompromikan dalam lingkungan yang dieksploitasi. Mereka melakukan ini untuk memastikan mereka selalu bisa kembali, bahkan jika kredensial masuk yang dicuri diubah ketika korban mendapat petunjuk. Ciri terkait lainnya, setelah ditemukan, peretas APT tidak hilang seperti peretas biasa. Kenapa begitu? Karena mereka memiliki atau menguasai komputer lain di lingkungan infrastruktur Anda. Saat ini, trojan seringkali disebarkan melalui rekayasa sosial yang menjadi jalan tol bagi peretas mengeksploitasi sebagian besar perusahaan. Mereka sangat umum di setiap lingkungan, dan mereka berkembang biak dalam serangan APT.

Aliran Data Besar

Cari aliran data besar yang tidak terduga dari titik asal internal ke komputer internal lain atau ke komputer eksternal. Bisa dari server ke server, server ke klien, atau jaringan ke jaringan. Alur data itu mungkin juga terbatas, tetapi ditargetkan, seperti seseorang yang mengambil email dari negara asing. Karena itu setiap klien email harus memiliki kemampuan untuk menunjukkan di mana pengguna terbaru masuk untuk mengambil email dan di mana pesan terakhir diakses. ESET misalnya memiliki ESET mail Security yang memiliki kemampuan untuk memilah dan memilih email yang masuk dan melakukan penyaringan dan memisahkan email yang berbahaya dari yang tidak tanpa berisiko terpapar oleh serangan siber.

Kumpulan Data Mencurigakan

APT sering mengumpulkan data curian ke tempat pengumpulan internal sebelum memindahkannya ke luar. Cari bongkahan besar (gigabyte, bukan megabytes) data yang muncul di tempat-tempat di mana data itu seharusnya tidak, terutama jika dikompresi dalam format arsip yang biasanya tidak digunakan oleh perusahaan Anda.

Spear Phising

Fokuskan pada serangan email spear phishing yang diarahkan pada karyawan perusahaan menggunakan file dokumen misalnya, Adobe Acrobat PDF, Microsoft Office Word, Microsoft Office Excel XLS, atau PPT Microsoft Office PowerPoint, yang berisi kode yang dapat dieksekusi atau tautan URL berbahaya. Ini adalah agen penyebab utama dalam sebagian besar serangan APT.

Tanda yang paling penting adalah bahwa serangan email spear phising tidak dikirim ke semua orang di perusahaan, tetapi sebaliknya ke target yang lebih selektif dari individu high profile seperti CEO, CFO, CISO, pemimpin proyek, atau pemimpin teknologi di dalam perusahaan, sering menggunakan informasi yang hanya bisa dipelajari oleh penyusup yang sebelumnya telah membahayakan anggota tim lainnya. Jika Anda mendengar tentang serangan spear phishing, terutama jika beberapa eksekutif telah dilaporkan ditipu untuk mengklik pada lampiran file, mulailah mencari empat tanda dan gejala lainnya.