Ilustrasi | Foto: Pixabay
Ilustrasi | Foto: Pixabay
Cyberthreat.id – Para peretas yang memiliki keterkaitan dengan negara sering disebut dengan advanced persistent threat (APT). Geng APT ini memiliki tujuan khusus untuk mencuri data atau melakukan sistem pengawasan dalam periode waktu yang lama.
Penyerang menghabiskan waktu dan sumber daya untuk mengidentifikasi kerentanan yang dapat mereka eksploitasi. Motif para kelompok APT dapat berupa keuntungan finansial atau spionase politik.
Menurut CSO Online, media yang fokus di isu-isu keamanan siber mulai manajemen risiko hingga pertahanan jaringan, APT awalnya dikaitkan dengan aktor negara-bangsa yang ingin mencuri rahasia pemerintah atau industri.
Karena peretas APT menggunakan teknik yang berbeda dari peretas biasa, mereka meninggalkan tanda yang berbeda. Namun, ada lima karakteristik dari geng APT ini:
Kecepatan ambil alih
APT memiliki kecepatan dalam meretas. Setelah mengkompromikan satu komputer, selanjutnya mereka mengambil alih banyak komputer atau seluruh lingkungan jaringan hanya dalam beberapa jam.
Mereka melakukan ini dengan membaca database otentikasi, mencuri kredensial, dan menggunakannya kembali. Mereka mengetahui akun pengguna (atau layanan) mana yang memiliki hak istimewa dan izin tinggi, lalu masuk ke akun tersebut untuk meretas aset.
Jika Anda tiba-tiba melihat volume tinggi log-on (masuk ke sistem) yang tinggi di beberapa server atau komputer individual bernilai tinggi saat kru kerja yang sah ada di rumah, sebaiknya Anda mulailah khawatir.
Berita Terkait:
Trojan backdoor
Peretas APT sering menginstal program Trojan backdoor pada komputer yang dikompromikan. Mereka melakukan ini untuk memastikan mereka selalu bisa kembali, bahkan jika kredensial log-in telah diubah korban. Trojan ini disebarkan melalui rekayasa sosial.
Aliran informasi yang tidak terduga
Cari aliran data yang besar dan tidak terduga dari titik asal internal ke komputer satu ke komputer internal lain atau ke komputer eksternal. Itu bisa server ke server, server ke klien, atau jaringan ke jaringan.
Alur data itu mungkin juga terbatas, tetapi ditargetkan - seperti seseorang yang mengambil email dari negara asing. Setiap klien email memiliki kemampuan untuk menunjukkan di mana pengguna terbaru masuk untuk mengambil email dan di mana pesan terakhir diakses. Gmail dan beberapa sistem email cloud lainnya sudah menawarkan ini.
Namun, ini menjadi lebih sulit untuk dilakukan karena begitu banyak arus informasi saat ini dilindungi oleh VPN. Tentu saja, untuk mendeteksi kemungkinan APT, harus memahami seperti apa aliran data Anda sebelum lingkungan terganggu.
Kumpulan data yang tidak terduga
APT sering mengumpulkan data curian ke tempat pengumpulan internal sebelum memindahkannya ke luar. Cari bongkahan besar (gigabita, bukan megabita) data yang muncul di tempat-tempat di mana data itu seharusnya tidak, terutama jika dikompresi dalam format arsip yang biasanya tidak digunakan oleh perusahaan atau organisasi.
Kampanye spear-phishing
Mereka fokus pada kampanye email spear-phishing terhadap karyawan perusahaan menggunakan file dokumen (misalnya, Adobe Acrobat PDF, Microsoft Office Word, Microsoft Office Excel XLS, atau PPT Microsoft Office PowerPoint) yang berisi kode yang dapat dieksekusi atau tautan URL jahat. Ini adalah agen penyebab asli dalam sebagian besar serangan APT.
Berita Terkait:
Tanda yang paling penting adalah bahwa email penyerang phishing tidak dikirim ke semua orang di perusahaan, tetapi sebaliknya ke target yang lebih selektif dari individu bernilai tinggi (misalnya, CEO, CFO, CISO, pemimpin proyek, atau pemimpin teknologi) di dalam perusahaan.
Email tersebut mungkin palsu, tetapi mengandung kata kunci yang merujuk pada proyek dan subjek internal yang sebenarnya sedang berjalan.
Alih-alih dengan subjek umum, "Hei, baca ini!", mereka akan menulis sesuatu yang sangat relevan dengan proyek perusahaan atau yang ditargetkan. Dan, email itu seolah-lah berasal dari anggota tim lain dalam proyek perusahaan yang sedang berlangsung.
Share:
