WAKOOL.ID-- Advanced Persistent Threats (APT) mungkin merupakan fenomena yang relatif baru bagi banyak organisasi. Walaupun sebenarnya motif yang melatar belakanginya bukanlah hal yang baru. Yang membedakannya dengan jenis ancaman yang lain utamanya adalah dari aspek perencanaannya, sumber daya yang dialokasikan serta kecanggihan teknik yang digunakan. Inilah hal baru yang belum ditemukan pada ancaman serangan masa lalu. Ancaman yang luar biasa ini juga menuntut tingkat kewaspadaan, pencegahan dan pengendalian yang luar biasa pula disbanding yang biasa digunakan untuk menghadapi ancaman-ancaman keamanan biasa dari para hacker, virus atau spammer.

Jadi APT itu sederhananya adalah ancaman (threat) keamanan yang canggih (advanced) lagi gigih (persistent). Dulu mungkin banyak organisasi yang punya pengalaman diserang sistem atau infrastrukturnya. Tapi umumnya yang melakukan serangan-serangan tersebut adalah individu-individu, kelompok yang kurang terorganisir, modalnya pas-pasan, atau mungkin juga oleh orang yang sekedar ingin menunjukkan kebolehan saja. Tapi berbeda dengan APT yang hampir semua serangannya dilakukan oleh kelompok-kelompok yang terorganisir, atau bahkan tak jarang negara berada di belakang kelompok tersebut. Sehingga karenanya serangan ini secara umum lebih terencana, lebih canggih, lebih lengkap sumber dayanya dan potensi dampaknya bisa jauh lebih dahsyat. Tabel berikut merangkum perbedaan antara serangan APT dengan serangan keamanan biasa[1]:

Cara Kerja APT

Salah satu karakteristik khas dari serangan-serangan APT adalah perencanaan yang dilakukan dengan sangat matang dengan tahapan-tahapan yang dirancang begitu rapi. Setiap serangan APT bisa melakukan teknik dan metode yang berbeda-beda. Namun demikian jika dilihat dari tahapan-tahapan yang dilakukan sebenarnya memiliki pola yang cukup tetap.

[Baca juga: Sistem Pengamanan Berlapis]

Serangan APT umumnya dilakukan dalam tahapan-tahapan berikut[2]:

Pertama, Pemilihan target. Tentunya tahapan pertama adalah penyerang mesti menentukan target organisasi, sistem, informasi atau apapun yang menjadi sasaran dari serangan yang akan dilakukan.

Kedua, Riset target. Tahapan berikutnya adalah melakukan riset, pengumpulan informasi mengenai target serangan. Penyerang perlu terlebih dahulu memahami kultur, kebiasaan, struktur organisasi, dan informasi-informasi lain terkait target. Informasi seperti laporan keuangan dan publikasi-publikasi lain mengenai organsiasi target biasanya juga menjadi bahan yang mereka pelajari dengan seksama.  Penyerang juga mengumpulkan informasi mengenai hal-hal penting lainnya, seperti alamat IP, email, data-data karyawan, dan lain-lain untuk mendukung serangannya nanti. Biasanya mereka juga menggunakan informasi dari media sosial seperti Facebook, Twitter, Linkedin dan lain-lain untuk melengkapi kebutuhan informasinya.

Ketiga, Penetrasi target. Seringkali usaha yang dilakukan oleh para penyerang untuk mulai masuk ke sistem target ini menggunakan berbagai cara social engineering, seperti spear phising misalnya. Misalnya melalui sebuah email yang dikirimkan ke individu-individu tertentu yang ditarget. Email tersebut nampak seperti berasal dari seseorang yang dipercaya dan berkaitan dengan topik yang sedang diminati oleh sang target. Penyerang tersebut mencoba mempengaruhi agar korbannya tertarik untuk membuka lampiran email atau mengklik link tertentu yang dia siapkan. Jika korban mengikuti kemauan penyerang tersebut, maka ada malware yang akan ditanam di komputer korban untuk dimanfaatkan oleh penyerang pada saatnya nanti.

Keempat, Command and Control. Langkah berikutnya adalah membangun kemampuan “command & control” dengan memanfaatkan malware yang telah ditanam pada penetrasi yang berhasil dilakukan sebelumnya. Obyektif utamanya adalah untuk membangun komunikasi dengan pusat kendali dari tim penyerang. Pada tahap ini, modul-modul tambahan dapat ditanam dan dikonfigurasi lebih lanjut untuk mendukung serangan-serangan berikutnya. Malware yang ditanam tersebut biasanya terdiri atas sejumlah modul yang masing-masing memiliki fungsi dan tugas tertentu. Jadi mungkin ada modul yang berfungsi mencari database atau file tertentu, ada modul yang tugasnya memasok status-status sistem target untuk dikirimkan ke pusat komando, dan lain-sebagainya. Ada modul yang bekerja secara offline, dan ada juga yang hanya bekerja ketika online. Dengan demikian melalui malware yang ditanam ini para penyerang dapat melakukan pencarian secara langsung pada sumber, mengekstrak data, memantau kejadian, serta yang tak kalah pentingnya adalah menghapus jejak-jejak penyerangan.

Kelima, Memperluas jangkauan. Setelah pada tahap sebelumnya penyerang telah berhasil menanam “agen” di lingkungan target, memiliki kemampuan untuk mengendalikannya dari pusat komando, maka yang dilakukan berikutnya adalah memperluas jangkauan pengaruh pada sistem target. Termasuk misalnya melakukan pemetaan jaringan target secara keseluruhan, mengambil data identitas-identitas personal, dan berusaha menaikkan tingkatan hak aksesnya sampai pada tingkatan dapat mengambil alih dan mengendalikan sistem. Pada tahapan ini biasanya mereka juga akan mendeteksi keberadaan aplikasi pemantau yang dapat mendeteksi keberadaan penyusup seperti mereka dalam sistem target.

Keenam, Data exfiltration. Ketika hak akses data sudah didapatkan oleh penyerang, maka data-data yang diinginkan akan dialirkan ke sebuah server internal yang kemudian mereka kompresi dan enkripsi sebelum mereka kirimkan lokasi tertentu yang dipilih. Untuk menutupi jejak mereka, para penyerang biasanya meneruskan data-data tersebut ke lokasi penyerang melalui beberapa situs proxy perantara. Sehingga bisa saja serangan terlihat berasal dari suatu negara, padahal sebenarnya ia dilancarkan dan dikendalikan dari lokasi yang sama sekali berbeda.

Ketujuh, Intelligence dissemination. Diseminasi informasi intelijen ini tidak sesederhana yang mungkin kita bayangkan. Data-data tersebut harus sangat dijaga keamanannya karena kebocoran akan berarti terbongkarnya sumber-sumber serangan, metode yang digunakan, atau bahkan dapat merusak hubungan diplomatik antar negara.

Penerima data intelijen ini haruslah pihak yang amat dapat dipercaya dan jelas. Sistem yang digunakan untuk menampung data tersebut juga harus benar-benar memiliki tingkat keamanan yang sangat tinggi.

Kedelapan, Eksploitasi informasi. Setelah semuanya diamankan, maka mulailah informasi-informasi yang berhasil diambil itu dieksploitasi satu per satu untuk beragam motif yang diinginkan oleh pihak penyerang.

Serangan APT, Dimana dan Kapan Berakhir?

Serangan-serangan APT terus berkembang cepat. Dalam dekade terakhir ini, dunia telah berpindah dari kondisi acuh menjadi siaga. Potensi ancaman malware yang menyebabkan bencana fisik besar dulu dianggap sebagai sekedar fantasi oleh banyak pihak di awal abad ini. Tapi kini ancaman tersebut benar-benar nyata. Kondisi ini membuat perusahaan-perusahaan besar berada di baris pertama. Para penyerang telah berkembang pesat dari skala kecil menjadi skala raksasa dengan kepemilikan senjata malware yang super canggih. Ditambah lagi jumlah pemain yang mengembangkan APT terus tumbuh pesat dari individu-individu menjadi lembaga besar hingga pemerintahan negara-negara besar di dunia.

Target-targetnya pun terus bertambah dari Lembaga pemerintahan hingga perusahaan-perusahaan yang mengelola informasi sensitif dan layanan kritikal bagi publik. Malware kini telah dianggap oleh militer sebagai bentuk senjata yang ampuh untuk perang di masa kini. Doktrin dan aturan-aturan dalam perang cyber coba disusun. Kebutuhan untuk kesepakatan dan aturan internasional yang mengatur hal ini terus diperdebatkan di berbagai forum dunia.

Dimana atau kapan semua ini akan berakhir? Jawabannya mungkin ancaman  ini tidak akan berhenti ataupun mereda. Kemampuan dan sumber daya yang dialokasikan pada perang cyber dan aktifitas intelijen seperti ini akan terus bereskalasi pada dekade-dekade yang akan datang.

Malware APT terus semakin canggih dan organisasi yang memanfaatkannya terus semakin besar dan kuat. Banyak serangan yang dilakukan kini merupakan hasil pengembangan yang dilakukan lebih dari dekade yang lalu. Inisiatif pengembangan ini seperti tidak terdeteksi bertahun-tahun lamanya. Berdasarkan dengan pengalaman ini, maka tak salah jika kita berasumsi bahwa akan ada ancaman generasi baru yang makin canggih dan serangan yang makin tak terbayangkan.

Dalam dekade-dekade yang akan dating mungkin kita akan melihat semakin banyak konflik cyber yang real antar negara atau komunitas. Para teroris masa kini juga telah memiliki kemampuan APT. Teknologi keamanan juga pasti akan terus berkembang berkejaran dengan kecanggihan teknologi perusak yang dihadapinya. Kemampuan manjamen jaringan dan respon terhadap insiden juga harus dikembangkan terus.

[Baca juga: Sekuriti di Era Konvergensi IT dan OT]

Kondisi ini pada gilirannya akan menuntut perusahaan akhirnya menggunakan layanan Security Operations Center (SOC) dengan kemampuan sistem pemantauan, penanganan dan pengendalian yang handal sesuai kebutuhan. Hal ini karena menyiapkan sendiri infrastruktur pengamanan seperti ini akan membutuhkan investasi yang sangat besar. Tak akan banyak organisasi yang mampu untuk berinvestasi sebegitu besar sekaligus untuk security. Tapi di sisi lain, jika serangan APT melanda maka bisnis mereka juga terancam hancur. Oleh karena itu layanan SOC menjadi alternatif yang lebih feasible bagi organisasi karena biaya investasi dapat digeser menjadi biaya operasional yang lebih terjangkau.

Namun demikian, betapapun risiko serangan tetap akan selalu ada. Apalagi kalau kita melihat kerentanan dari sisi manusianya. Kesadaran keamanan yang belum baik dan teknik social engineering tetap memungkinkan adanya penyerang yang berhasil menginjakkan kakinya di dalam sistem dan infrastruktur organisasi. Tidak ada manusia yang begitu sempurna kedisiplinan dan kewaspadaannya. Sehingga apabila sistem tidak dapat menekan kemungkinan kesalahan manusia ini, maka risiko serangan APT akan selalu mengintai setiap saat untuk masuk dan merusak. Waspadalah..Waspadalah!! [wkid/mti]

[1] A Study on Advanced Persistent Threats, Ping Chen et al.

[2] Advanced Persistent Threats, How to Manage the Risk to Your Business. ISACA.