Advanced Persistence Threat: Pencuri dengan Kemampuan group Ocean’s Eleven

2018-09-10

Apakah anda pernah menonton film Ocean’s Eleven (2001) yang dibintangi oleh George Clooney, Matt Damon, Brad Pitt dan Julia Roberts? Film dengan latar belakang pencurian kasino tersebut sampai dibuat 2 seri beruntun setelahnya, yaitu Ocean’s Twelve (2004) dan Ocean’s Thirteen (2007) dan Ocean’s 8 yang saat tulisan ini dibuat sedang diputar di bioskop di berbagai kota. Film yang berkisah tentang pencurian yang dilakukan oleh orang-orang profesional dan terlatih, dimana targetnya amat spesifik dengan memakan waktu persiapan dan pelaksanaan amat panjang. Seperti itulah kira-kira Advance Persistence Threat (APT), dimana bentuk serangan (Threat) terbilang sangat canggih (Advanced) karena dilakukan oleh orang-orang atau kelompok yang memiliki kemampuan sangat baik, serta ditujukan kepada target yang spesifik dan terus-menerus (Persistence). Apakah kita siap dan memiliki kemampuan untuk menangkal serangan seperti ini? Atau, seberapa berharga aset yang kita miliki, sehingga kita menjadi target dari serangan berbasis APT?

Pertengahan Februari 2018 lalu, dunia dikejutkan oleh keterangan dari Robert Mueller, mantan direktur FBI yg ditunjuk sebagai ketua dari konsil yang dibentuk untuk menyelidiki keterlibatan Rusia, yang menyimpulkan bahwa 13 individu Rusia terlibat dalam menginterferensi pemilu Amerika Serikat tahun 2016. Hal ini menambah panjang daftar bukti dan kasus keterlibatan Rusia dalam pemilu tersebut, dengan tujuan memenangkan Trump. Pada beberapa kejadian yang diungkap, terlihat bahwa serangan ditujukan kepada tim kampanye Hillary Clinton dan anggota dari Partai Demokrat. Serangan tersebut sangat spesifik ditujukan kepada target yang khusus, dengan metode yang amat canggih yang bahkan belum ditemukan sebelumnya, sehingga disebut sebagai Advanced Persistence Threat (APT).

Serangan berbasis APT terhadap pemilu presiden di Amerika Serikat di atas, memiliki karakteristik yang sama dengan serangan berbasis APT yang lain. Sebagai contoh serangan Stuxnet yang menyasar fasilitas pengayaan uranium Iran, dengan Amerika Serikat dan Israel dipercaya sebagai dalang dibelakangnya dengan kode operasi: Operation Olympic Games. Meski malware ini terdeteksi ‘beredar’ di beberapa negara (termasuk Indonesia diurutan kedua sebesar 18.2%), stuxnet disebutkan mentargetkan fasilitas nuklir Iran. Stuxnet tidak menyebabkan kerusakan pada sistem yang bukan menjadi targetnya, karena secara spesifik mentargetkan Programmable Logic Controllers (PLCs) yang dipakai dalam sentrifugal untuk memproduksi material nuklir Iran dan berada di sana tanpa terdeteksi selama bertahuntahun. Serangan ini disebutkan mampu menghambat program nuklir Iran selama 4 tahun, lebih efektif dari serangan bom yang hanya menghambat program tersebut selama 3 tahun saja. Film berjudul Zero Days yang dirilis tahun 2016 menceritakan Stuxnet dengan cukup detail. Ada lagi Operation Aurora yang menyasar puluhan perusahaan besar IT, seperti Google, Adobe, Juniper serta perusahaan lain pada sektor teknologi, finansial dan defense. Serangan ini dipercaya dilakukan oleh Cina, dengan tujuan untuk mencuri intelectual property berupa source code dari perusahaan yang menjadi target, juga untuk membungkam aktivis pro demokrasi di Cina. Serangan ini mengeksploitasi kelemahan pada software Internet Explorer dan Adobe Acrobat Reader  yang sebelumnya belum pernah ditemukan (0-Day vulnerability). Serangan ini juga menggunakan beberapa level enkripsi serta beberapa jenis malware untuk mengelabuhi dan mencegah terdeteksi. Operation Aurora dipercaya berlangsung sejak pertengahan 2009 dan baru dideteksi awal tahun 2010 oleh Google. Di masa mendatang, kita akan melihat semakin banyak serangan berbasis APT, terutama yang disponsori dan di backup oleh negara. Hal tersebut karena serangan jenis ini dilihat lebih murah biayanya dibandingkan dengan serangan secara fisik seperti peperangan. Pun soal risikonya terhadap penyerang yang juga minim, karena pelakunya sulit dibuktikan secara nyata.


Advanced & Persistance

Serangan APT merupakan serangan yang Advanced. Baik dari sisi jenis serangan, maupun tekniknya. Sebagai contoh adalah Stuxnet, dimana worm ini menyasar sistem Supervisory Control and Data Acquisition (SCADA) berbasis PLC, yang dikenal sebagai sistem yang tidak dikenal secara luas. Sistem ini berbeda dengan target berbasis OS yang umum ada di pasaran,  seperti Windows maupun Linux. Hal ini terjadi karena serangan APT menyasar target yang spesifik, bukan seperti serangan jenis malware pada umumnya yang mentargetkan sebanyak-banyaknya korban, sehingga dibuat berdasarkan sistem yang paling banyak dipakai. Salah satu contoh jenis serangan yang sering dipergunakan dalam APT adalah Zero Day atau 0-Day. Awalnya istilah 0-Day adalah untuk jenis kelemahan pada sistem (bug atau vulnerability), yang dapat  dieksploitasi dan belum dikeluarkan patch oleh pembuat sistem tersebut. Kelemahan berbasis 0-Day bahkan hanya diketahui oleh si pembuat exploit. Dengan memiliki exploit berbasis 0-Day, dapat dipastikan serangan akan berhasil terhadap target yang ditentukan. Namun saat ini juga terdapat 0-Day Virus, dimana sebuah virus yang belum bisa di deteksi oleh Anti Virus yang ada. APT juga memiliki sifat yang persistance, dimana dilakukan dalam kurun waktu yang lama dan hanya menyasar institusi atau individu tertentu. Penyerang melakukan studi secara spesifik mengenai target serangan, untuk melihat profil dan kelemahan yang ada. APT tidak mentargetkan sebanyak-banyaknya korban seperti virus atau ransomware pada umumnya, karena memang tujuannya spesifik serta mencegah selama mungkin untuk terdeteksi. Sebagai contoh serangan dengan jenis virus yang memang secara khusus ditujukan untuk institusi tertentu, dan tidak berjalan pada lingkungan lainnya. Misal hacker sudah mengetahui bahwa setiap nama komputer di perusahaan kita, memiliki format XYZ-[NAMA-DIVISI]-[NOMOR-WORKSTATION]. Maka dibuatlah virus baru yang hanya berjalan di komputer dengan format nama target di atas (nama komputer memiliki awalan XYZ-), dan tidak berjalan di target lainnya. Hal ini tentu amat menyulitkan bagi proteksi yang basisnya tradisional, seperti berbasis Signature


Pendekatan untuk serangan APT

Dalam menangani APT, dapat dilakukan beberapa pendekatan yang ada. Salah satunya adalah pendekatan yang di usulkan oleh Lockheed Martin (LM) dalam papernya yang berjudul “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”. LM mencoba untuk membagi serangan menjadi beberapa tahapan, untuk kemudian di terapkan langkah-langkah yang tepat pada tahapan tersebut. Pendekatan ini sebenarnya tidak spesifik untuk serangan berbasis APT, namun juga untuk serangan yg sifatnya tradisional lainnya. Tahapan yang dimaksud adalah Cyber-Killchain.


Melalui Cyber-Killchain, terlihat bahwa tujuan akhir dari penyerang adalah Action. Hal ini bisa berupa banyak hal, mulai dari pencurian data, membuat sistem tidak berfungsi (Denial of Service), atau bahkan merusak sistem secara keseluruhan. Semakin kita dapat mendeteksi dan menangkal serangan pada fase awal, maka semakin baik. Tujuan utama  dari pendekatan yang  kita lakukan adalah sedapat mungkin mencegah serangan pada fase Action. Sebagai contoh ekstrim adalah, jika komputer sudah terlanjur terinfeksi virus (Fase Installation), maka sedapat mungkin dicegah terkoneksi ke C&C, sehingga tujuan virus tersebut dibuat (Action on Target) tidak tercapai.


Pada masing-masing tahapan serangan di atas, LM juga menganjurkan beberapa tindakan atau perangkat yang diperlukan, berdasarkan tindakan yang ingin kita lakukan pada setiap tahapan tadi (jika dimungkinkan). Tindakan yang dimaksud adalah: Detect, Deny, Disrupt, Degrade, Deceive, Destroy. Misal jika kita ingin mendeteksi serangan pada fase Exploitation, maka diperlukan Host Intrusion Detection System (HIDS). Detail matrix tindakan pada setiap tahapan serangan ada pada gambar dibawah ini:


Tindakan yang diusulkan LM di atas tentu saja dapat dikembangkan, sesuai dengan sifat APT dan kondisi yang ada di lingkungan kita. Sebagai contoh, untuk mendisrupsi Virus yang merupakan 0-Day pada tahapan installation, bisa menggunakan teknologi sandboxing. Dengan sandboxing kita dapat mengeksekusi atau membuka file yang dicurigai mengandung virus namun tidak terdeteksi oleh signature AV, pada lingkungan yang aman namun serupa dengan lingkungan sesungguhnya. Jika ternyata file tersebut merusak, maka ‘lingkungan’ tadi (biasanya simulator dari OS) bisa kita delete dengan mudah.


Meskipun telah memberikan landasan yang baik untuk memetakan tahapan serangan, serta tindakan pada setiap tahapan tersebut, LM tidak memberikan petunjuk tentang siapa yang perlu melakukan tindakan pada tiap serangan. Seperti kita ketahui, security haruslah komprehensif, dimana mencakup: Technology, People & Process.  Jika dilihat, proses pencarian dan pendeteksian serangan pada berbagai fase Cyber Killchain memerlukan keahlian yang khusus. Teknologi dapat memudahkan kita pada level tertentu, misalnya dengan adanya Artificial Intelligence maupun automation, namun tetap harus ada peranan manusia dalam setiap tindakan. Diperlukan personil yang memiliki kemampuan dalam mendeteksi serangan, serta menyimpulkan apakah serangan ini valid atau tidak. Terlebih lagi jika yang dihadapi adalah APT, hal ini tentu menjadi lebih sulit dan kebutuhan akan personil yang mumpuni tentunya lebih besar lagi.


LM tidak menginformasikan, siapa yang perlu melakukan analisis jika terdeteksi adanya serangan yang ‘tidak biasa’. Padahal untuk mendeteksi dan mengolah serangan berbasis APT, diperlukan personil IT Security yang memiliki kemampuan sangat baik. Sebagai contoh Stuxnet, dimana dideteksi dan diteliti oleh berbagai ahli IT Security dari Symantec dan Kaspersky Lab yang memiliki sumber daya (Tools, lab, jaringan ahli & pengetahuan) serta personil yang setiap hari bergelut dengan serangan dan virus. Pertanyaannya, apakah kita memiliki sumber daya seperti Symantec & Kaspersky Lab? Hal ini tentu perlu disiasati lebih lanjut, karena mencari personil IT Security yang baik tentu tidak mudah dan pastinya tidak murah. Terlebih lagi jika kita ingin memastikan keamanan selama 24/7, yang membutuhkan personil standby 24/7 pula. 


Serangan pada umumnya

Apakah kita perlu menyiapkan pertahanan untuk menanggulangi serangan berbasis APT? Jawabannya bisa ya dan tidak. Namun pertanyaan sebelumnya adalah: Apakah anda yakin memiliki aset yang diincar oleh penyerang berbasis APT? Karena tidak mungkin tim Ocean’s Eleven akan merampok bandar Judi Togel (Toto Gelap), karena kelasnya mereka adalah merampok kasino besar di Las Vegas.


Berdasarkan pengamatan kami di Security Operation Center Defenxor, yang memonitor keamanan puluhan institusi dan perusahaan selama 24/7, kebanyakan serangan bukanlah serangan yang spesifik (Persitance) meskipun ada beberapa yang cukup Advanced. Serangan yang ada sebenarnya dapat terdekteksi dan dicegah, namun perlu tunning dan penanganan lebih lanjut. Sebagai contoh perusahaan telah mengimplementasikan Web Application Firewall (WAF), namun masih terjadi insiden defacement dimana halaman web diganti. Setelah diselidiki, ternyata ada policy pada WAF yang perlu di tunning. Ada pula perusahaan yang Intsusion Prevention System (IPS), namun policynya masih allow-all yang berarti tidak mem-Prevent apapun. Bahkan masih sering kami dapati traffic ransomware wannacry yang cukup menghebohkan di pertengahan 2017. Kesimpulan dan Saran Lalu apa yang harus kita lakukan untuk mengetahui apakah kita sudah terkena serangan berbasis APT? Jika pertanyaan ini ditanyakan ke saya, maka jawabannya adalah: Berdoa yang banyak..:) Jika memang kita menjadi target serangan dengan profil penyerang sedemikian canggih dan targetted, apakah kita punya sumber-daya untuk mendeteksi dan menangkal serangan semacam itu? Namun pertanyaan berikutnya, apakah kita memiliki aset yang sedemikian berharga sehingga menjadi target serangan APT? Sekali lagi, saya yakin group perampok Ocean’s Eleven tidak akan merampok target yang tidak memiliki aset berharga menurut ukuran mereka.


Oleh karena itu kita perlu terlebih dahulu melakukan assessment terhadap aset yang kita miliki, berapa nilainya, apa saja risiko terkait aset tersebut dan berapa kerugiannya jika risiko menjadi kenyataan (tangible maupun intangible). Setelah dilakukan assessment, maka selanjutnya kita terapkan proteksi untuk menjaga agar risiko tidak menjadi kenyataan. Framework Cyber Killchain dari LM diatas dapat menjadi acuan untuk melakukan Proteksi, berdasarkan tahapan serangan dan tindakan pada setiap tahapan tersebut. Proteksi disini tidak terbatas hanya pada implementasi Teknologi saja, namun juga terkait People (user awareness, kemampuan personil IT Security, dll) dan juga Process (Policy, Procedure & Guideline). Dengan melihat risiko dan mencocokkan proteksi yang ada terkait risiko tersebut, maka kita terhindar dari implementasi teknologi yang tidak tepat, baik yang kurang maupun berlebih.


Setelah kita menerapkan proteksi yang kita anggap sesuai, maka berikutnya adalah melakukan pemeriksaan apakah proteksi sudah sesuai untuk mencegah terjadinya risiko. Pemeriksaan ini bisa berupa vulnerability assesment  atau penetration testing, dimana kita mensimulasikan serangan yang dilakukan oleh hacker sesungguhnya. Jika berdasarkan hasil pemeriksaan ada yang perlu diperbaiki, kita dapat kembali lagi ke tahapan proteksi sebelumnya.


Pada akhirnya, perlu dilakukan monitoring keamanan selama bisnis berjalan. Hal ini bertujuan untuk mendeteksi jika terjadi serangan yang masih lolos, juga untuk tujuan penanganan jika insiden sudah terjadi (Forensik). Monitoring dan deteksi ini dapat dilakukan dengan mengimplementasi Security Operation Center (SOC), atau bekerjasama dengan pihak ketiga yang menyediakan layanan SOC tanpa kita perlu implementasi sendiri. Implementasi SOC (baik secara mandiri maupun lewat pihak ketiga) menjadi pilihan yang tepat, karena fungsinya yanng melakukan monitoring selama 24/7 dengan gabungan antara Technology, People & Process. Kapabilitas SOC yang baik juga secara empiris terbukti secara signifikan memiliki positif terhadap kinerja keamanan informasi.


APT merupakan serangan yang sangat kompleks dan canggih, dimana mungkin kita tidak memiliki sumber daya untuk menanggulanginya. Jika kita memang menjadi target dari serangan APT dimana kita memiliki aset yang menjadi sasarannya, seharusnya kita memiliki sumber daya untuk mendeteksi dan menanggulangi serangan tersebut.  Karena logikanya, tidak mungkin pengamanan kasino ternama di Las Vegas sama dengan pengamanan bandar judi toto gelap. Sementara itu, setidaknya kita harus terproteksi dari jenis serangan yang memang menyasar semua institusi seperti ransomware, defacement, virus, dll. Memang, tidak ada celah keamanan yang terlalu kecil untuk diacuhkan dan dibiarkan terbuka. Namun pendekatan implementasi keamanan berbasis risiko, serta perencanaan yang matang amat penting, untuk mencegah harga brankas lebih mahal dari isinya.

 

Share this article: