Bincang Cyber

Bincang Cyber


Cyber Attack Senyap di saat Pandemic – E28

May 31, 2020

Dalam beberapa bulan terakhir ini kita banyak sekali di kejutkan dengan berkembangnya isu data breach yang beredar. Banyak pihak yang menanyakan mengapa hal ini dapat terjadi bahkan terkesan semakin intens di saat kebanyakan dari perusahaan di Indonesia atau secara khusus di pulau Jawa sedang menerapkan PSBB atau Work From Home. Tentu saja ini membuat kita pada akhirnya berkesimpulan bahwa threat actors akan terus berkarya dengan inovasi serangannya meski di tengah pandemic yang sedang terjadi ini. Hal ini bukan yang baru pertama kalinya terjadi. Beberapa bulan yang lalu pada saat terjadinya demonstrasi besar-besaran di Hong Kong, pada saat yang bersamaan pula terjadi serangan cyber yang mempergunakan teknik yang tidak biasanya. Waktu itu, serangan di lancarkan bukan langsung melalui penyebaran malware, melainkan dengan memanfaatkan situs berita palsu yang seolah-olah menampilkan kondisi pemberitaan terkini. Uniknya, link pemberitaan ini tidak hanya tersebar di empat channel forum diskusi yang sering di kunjungi user di Hong Kong, namun juga pada group chat seperti Telegram. Kebanyakan user ini biasanya lengah saat sebuah peristiwa besar sedang terjadi. Hal ini di manfaatkan betul oleh hacker untuk sebanyak mungkin menyebarkan link pemberitaan yang tentunya lebih akan berhasil dikarenakan antusiasme orang untuk terus berupaya mendapatkan update informasi terkini. Bahkan ada yang sampai mem-forward dan men-share link pemberitaan tersebut melalui akun social media masing-masing yang kemudian menyebabkan tingginya dampak kerusakan yang terjadi.  Teknik penyerangan ini pada dasarnya di lakukan dengan mengarahkan pengguna kepada situs jahat. Setelah di buka, situs ini akan menginfeksikan malware kepada perangkat pengguna. Teknik ini di sebut dengan strategi Watering Hole attack.



Watering Hole Attack

Dengan menggunakan watering hole attack inilah, hacker menarik user dengan cara menampilkan foto-foto atau infografis di tambah dengan link sumber berita. Tentunya link ini akan di buat seperti sebuah situs pemberitaan resmi. Keterangan kepemilikan domain dan informasi lainnya seperti IP address juga valid. Tidak terkesan IP yang memiliki reputasi jelek. Serangan akan di lancarkan melalui iframe html code yang terdapat pada halaman dari link yang tersebar. Iframe tersebut berisi malicious code yang berpotensi mendownload malware kepada perangkat pengguna. Teknik ini banyak menyerang mobile phone dengan sistem operasi Android, khususnya pada sebelum tahun 2019. Yang di kenal dengan nama dmSpy, sedangkan versi yang menyerang iPhone di berikan nama LightSpy. Dan ketika demonstrasi di Hong Kong terjadi; teknik serangan semakin di sempurnakan dan kini mentargetkan perangkat iPhone dengan versi iOS v12.1 dan v12.2. Serangan pada iPhone terjadi ketika browser Safari mengakses situs berita palsu tersebut dan dengan memanfaatkan vulnerability yang terdapat di Safari, peretas dapat mendownload malware secara tersembunyi. Oleh Safari, hal ini di anggap sebagai proses patching sehingga tidak ada notifikasi download saat malware sedang di kirimkan ke perangkat. Meski sebenarnya vulnerability pada iOS ini sudah di temukan oleh peneliti cybersecurity dengan code CVE-2019-8605, namun rupanya proses patching atas vulnerability ini belum sempurna sehingga tetap dapat di exploit. Apple kemudian me-rilis versi iOS terbaru. Sayangnya iOS versi 13 yang merupakan versi lanjutan yang juga bebas dari vulnerability ini hanya dapat di nikmati oleh pengguna iPhone 6s ke atas. Kesimpulannya, vulnerability ini tetap berpotensi dapat menginfeksi perangkat iPhone seri 6 ke bawah.



Pandemic Covid-19 yang menjadi topik perbincangan di dunia cyber turut pula di manfaatkan oleh pihak peretas. Setidaknya hal ini di buktikan dengan peningkatan pembelian nama domain yang mengandung kata Covid-19. Di temukan setidaknya terdapat 1.2 juta nama domain baru yang mempergunakan kata Covid-19 yang kemudian oleh peneliti dari Palo Alto Network di temukan terdapat 86,600 nama domain yang di kategorikan sebagai malicious domain. Bukan tidak mungkin, domain baru tersebut di pergunakan untuk menyebarkan informasi dalam email phishing yang menarik penerima email untuk mengakses situs tersebut. Atau bahkan bisa di fungsikan sebagai Command-and-Control domain yang di jadikan central pusat komunikasi dengan malware yang tersebar untuk instruksi aksi selanjutnya. Ini semua menjadikan landscape penyerangan menjadi lebih dinamis dan desktruktif pada saat yang bersamaan.



Advance Persisted Threat

Perubahan landscape dan teknik serangan cyber yang semakin inovatif pada intinya berusaha untuk bersembunyi di bawah radar deteksi perangkat keamanan. Jika dalam satu dekade lampau, serangan cyber attack akan bersifat tiba-tiba dan masif. Hal tersebut tentunya jika masih di lakukan, akan dapat segera teridentifikasi sehingga dapat di padamkan dalam waktu yang relatif singkat. Namun kondisi landscape saat ini menunjukkan hal yang jauh berbeda dengan teknis serangan tersebut. Hacker selalu berupaya mencari titik terlemah dalam system pertahanan cyber dengan melakukan serangan dalam volume kecil sehingga tersamar seperti seolah-olah akses tersebut di lakukan oleh pengguna yang sebenarnya. Tentunya model serangan seperti ini membutuhkan waktu yang tidak sedikit, apalagi jika di lakukan oleh hanya satu orang pelaku. Untuk menyiasati waktu durasi penyerangan agar menjadi lebih pendek, tidak jarang hal ini di lakukan dalam sebuah team. Model serangan yang secara perlahan di lakukan ini di kenal dengan istilah Advance Persisted Threat atau di singkat dengan istilah APT. Sementara objectif yang ingin di peroleh oleh teamwork penyerang dalam satu APT, di sebut dengan istilah campaign. 



Serangan APT yang di lancarkan oleh team hacker biasanya merupakan teknik serangan yang memanfaatkan vulnerability yang belum di ketahui, bahkan tidak jarang vulnerability tersebut di beli dari pihak yang menemukan celah keamanan lebih dahulu. Hal ini yang menyebabkan bahwa peneliti cybersecurity yang mengkaitkan antara serangan APT dengan para sponsor sebagai sumber dana. Bahkan ada juga yang mengkaitkan satu kelompok APT dengan negara tertentu. Footprint yang di tinggalkan kelompok penyerang ini tidak dapat membuktikan asal negaranya, namun deteksi lebih di kaitkan kepada bahasa yang di pergunakan oleh kelompok APT. Tidak hanya itu, nama resmi kelompok pun kadang tidak di temukan. Inilah yang membuat beberapa kelompok APT di sebutkan dengan angka, seperti APT41 dan selanjutnya. Hal ini bahkan berpotensi menyebabkan duplikasi temuan terhadap satu kelompok APT yang sama yang selanjutnya di terjemahkan sebagai dua atau lebih kelompok APT oleh peneliti cybersecurity yang berbeda.



Window Time

Insiden data breach yang terkesan semakin marak terjadi dalam 3 bulan terakhir, meninggalkan banyak pertanyaan mengenai teknis penyerangan. Kasus data breach pun rupanya sudah merambah ke Indonesia. Tahun 2020 ini menurut catatan saya, baru pertama kalinya Indonesia masuk dalam pemberitaan luar negeri terkait insiden cybersecurity. Dalam merespon ini, kita tidak bisa saling menyalahkan, namun perlu kerja sama agar tercipta landscape yang lebih aman secara berkesinambungan. Di sisi lain, tidak mudah untuk menemukan teknis serta mekanisme serangan cyber. Bahkan untuk menemukan bukti bahwa serangan telah berdampak pada integritas data pun bukan sesuatu yang mudah. Terdapat rentang waktu saat awal serangan berdampak pada system dan waktu saat serangan tersebut teridentifikasi. Kedua posisi rentang waktu ini di sebut dengan istilah Window Time. Jika kita berbicara mengenai arsitektur cybersecurity. Menurut pengalaman saya pribadi, tidak ada satu pun system cybersecurity yang bebas dari serangan. Namun penentuan mengapa satu system cybersecurity lebih baik dari yang lain, sangat erat terkait dengan Window Time ini. Semakin kecil satuan Window Time tentunya akan meningkatkan penilaian terhadap kehandalan arsitektur. Mengapa tidak memberikan penilaian tertinggi terhadap arsitektur yang tidak terkena serangan cyber? Jawabannya mudah, sebab jika sebuah arsitektur cybersecurity di katakan tidak pernah di serang; jangan-jangan hal tersebut di karenakan serangan yang masuk tidak terdeteksi dan serangan tersebut bisa saja berpotensi masuk ke bagian lebih dalam sehingga pada waktunya nanti akan menyebabkan kerusakan yang lebih fatal.



Naikon APT

Negara-negara di Asia semakin hari semakin banyak mendapatkan serangan dari kelompok APT. Oleh Kaspersky, di tahun 2015 di temukan sebuah kelompok APT baru yang di beri nama Naikon. Kelompok APT Naikon adalah kelompok peretas yang mempergunakan bahasa Chinese dalam komunikasinya. Campaign yang di lakukan oleh kelompok APT ini di duga mentargetkan entitas perusahaan milik negara termasuk kantor-kantor pemerintah di Asia Pacific. Fokus campaign atas serangan adalah untuk tujuan espionage. Dan dalam melakukan campaign serangannya, Naikon APT tidak secara langsung melancarkan serangan pada berbagai negara, melainkan satu per satu negara. Oleh peneliti bahkan di sebutkan dari code malware Naikon APT yang hanya berukuran 8 kilobyte itu terdapat 48 rutin perintah yang dapat di fungsikan untuk melakukan serangan ke negara lain dari negara yang telah terinfeksi malware ini. Meski model injeksi malware atas APT ini masih terbilang klasik, yaitu dengan phishing email yang di dalamnya di attach file Microsoft Words. Malware akan di install pada PC tersebut pada saat attachment di buka. Selanjutnya perangkat yang telah di infeksi akan di remote dari sisi Command-and-Control (atau di singkat C&C) server untuk proses penyerangan lebih lanjut. Server C&C dari Naikon APT ini bahkan di duga terdapat 7 buah server yang mempergunakan ip-address Indonesia. Artinya, perintah eksekusi secara remote dapat di lakukan dengan perantaraan ip-address di Indonesia sehingga semakin sulit terdeteksi.



Behavioural Analysis

Dalam episode ke tujuh di podcast BincangCyber ini, saya memberikan sharing mengenai UEBA atau singkatan dari User-Entity Behaviour Analysis. Kemampuan reaktif dari arsitektur CyberSecurity kini sudah sangat tidak sesuai dengan landscape keamanan yang terjadi. Arsitektur keamanan harus menerapkan mekanisme pengamanan yang adaptive berdasarkan perubahan akses. Dalam situasi sebelum adanya wabah Covid-19, sebagian besar karyawan mungkin lebih banyak bekerja dari kantor. Hal ini memudahkan dekteksi insiden, disebabkan lokasi akses yang cenderung seragam. Sementara dengan kondisi WorkFromHome saat ini di mana akses di lakukan dari ip-address yang bervariasi dan waktu yang hampir tidak seragam. Kondisi ini pastinya semakin menyulitkan proses deteksi potensi insiden. Untuk menanggulangi hal ini di perlukan pendekatan berbeda dan semakin lebih memfokuskan kepada behavioural dari pengguna. Contoh: jika saat ini pengguna mengakses ke data center dengan mempergunakan ip address milik operator GSM yang terdaftar di Jakarta. Namun jika terjadi perbedaan signifikan terhadap lokasi geographis dari alamat ip-address tersebut, bisa jadi hal ini merupakan indikasi awal insiden. Terlebih jika akses ke web aplikasi perusahaan sangat variatif dan terkesan berusaha untuk mengirimkan banyak data keluar (exfiltrate) melebihi kebiasaan rutin (waktu berbanding jumlah data). Tidak hanya letak geographic saja, jenis perangkat juga bisa di jadikan indikator potensi insiden. Misalnya, jika keseharian karyawan mempergunakan Windows 8 atau MacOS, dan ternyata kemudian terdeteksi bahwa ada upaya mengakses dari OS yang berbeda; hal ini pun dapat di anggap sebagai salah satu potensi insiden. Sehingga secara umum, kita secara kontinu melakukan pengamatan terhadap seluruh aspek atas akses sehingga potensi insiden dapat di cegah atau setidaknya Window Time atas serangan dapat di tekan ke titik yang paling rendah hingga terus semakin kecil.



Peran Aktif Pengguna dalam Menekan Potensi InsidenJika kita melihat dalam sudut pandang pengguna. Tentunya kondisi pandemic ini menciptakan tantangan baru khususnya terkait kesiapan infrastruktur di rumah. Jika di kantor, pastinya kita di lindungi dengan Firewall dan perangkat keamanan lainnya yang mungkin bahkan terdiri dari banyak lapisan. Selain itu, di kantor kita mungkin akan di layani oleh team cybersecurity dan setidaknya seorang Chief Information Security Officer (CISO). Sementara, jika WorkFromHome, artinya kita sepenuhnya harus mengandalkan perangkat di rumah untuk kegiatan kerja sehari-hari. Dan ini pastinya memerlukan pendekatan berbeda dan lebih memerlukan perhatian. Mulai dari kesiapan pengamanan router di rumah, hingga memastikan semua patching atau update terhadap router dan semua perangkat mobile dan komputer. Terkait akan hal ini, saya ingin mencoba membagi beberapa tips yang mungkin dapat menjadi salah satu point peningkatan keamanan pada masa WorkFromHome ataupun masa the New Normal nantinya.



  1. Pastikan perangkat wifi yang kita miliki secara rutin, setidaknya 2 bulan sekali, di lakukan pergantian password akses. Pastikan Admin password router juga ikut di rubah. Matikan perangkat wifi pada waktu tidak di pergunakan, misalnya pada malam hari. Hal ini dapat mempersulit pihak yang mencoba meretas password wifi router tersebut. Pada beberapa jenis perangkat router tertentu, hal ini di fasilitasi secara otomatis via scheduler.
  2. Lakukan update atau patching terhadap OS dan software yang di pergunakan pada seluruh perangkat (laptop dan mobile). Hapuslah aplikasi yang sudah tidak lagi di pergunakan. Di samping membantu meringankan kerja perangkat dan menghemat battery, ini dapat memperkecil area penyerangan atau attack surface pada perangkat kita.
  3. Dalam penggunaan password, pastikan untuk menerapkan MFA sebagai tambahan layer perlindungan atas akun yang memiliki fungsi kritis, seperti: akun email, internet banking, sosial media, dan akses ke system perusahaan. Tingkatkan kompleksitas password. Serta gantilah password secara rutin dan tidak mempergunakan satu password yang sama kepada lebih dari satu akun. Jika dirasakan membantu, gunakan Password Manager untuk mempermudah. Gantilah password email lebih sering di bandingkan password akun aplikasi lainnya. Sebab, jika password akun lain di retas, pastinya proses recovery akan memerlukan akses ke email, jadi pastikan tingkat pengamanan email lebih tinggi dari pada yang lainnya.
  4. Penerapan VPN hanya berguna untuk menghindari serangan man-in-the-middle, namun tidak memiliki fungsi untuk mencegah serangan malware dari perangkat ke data center perusahaan. Pastikan antivirus dan jika tersedia firewall pada laptop selalu dalam kondisi yang up-to-date. Jangan meng-klik sembarang link yang bersumber dari email, meskipun kita mengenai sendernya. Bisa jadi email tersebut di kirim oleh malware setelah menginfeksikan perangkat sender. 
  5. Jika ke empat point di atas telah di kerjakan, tidak ada salahnya me-review tingkat keamanan perangkat lain milik anggota keluarga di rumah. Berikan saran peningkatan keamanan, agar perangkat anggota keluarga juga turut menjadi lebih aman. Ingat bahwa serangan itu belum tentu semuanya datang dari depan, ada yang dari kiri/kanan dan ada juga yang dari belakang. Jadi, pastikan semuanya juga turut aman.

The post Cyber Attack Senyap di saat Pandemic – E28 written by Faisal Yahya appeared first on Bincang Cyber.