Teknogav.com – Sekitar seratus insiden di dunia sejak tahun 2022 telah dianalisis tim Kaspersky Cyber Threat Intelligence (Intelijen Ancaman Siber). Hal ini diungkap dalam laporan yang baru-baru ini dirilis oleh tim Intelijen Ancaman Siber Kaspersky. Laporan tersebut berisi studi monumental mengenai Taktik, Teknik dan Prosdur (TTP) Advanced Persistent Thread (APT) Asia. Pendekatan yang diidentifikasi selama penyelidikan disajikan sebagai informasi yang sangat lengkap dalam laporan tersebut.

Studi eksklusif tersebut dirancang untuk meningkatkan pemahaman mengenai cara kerja kelompok APT kontemporer dan mekanisme pertahanan yang efektif. Tim Kaspersky memakai metodologi Unified Kill Chain untuk mempelajari tindakan penyerang berdasarkan TTP yang digunakan penyerang, kelompok yang dianalisis. Laporan ini memaparkan wawasan mengenai lima insiden khusus yang terjadi di Argentina, Indonesia, Malaysia, Pakistan, serta Rusia dan Belarus. Negara-negara tersebut mewakili sifat serangan yang tersebar secara geografis.

Baca juga: Kaspersky Bahas Serangan Siber di Ukraina Saat Ini

Laporan analisis setebal 370 halaman tersebut mendokumentasikan TTP yang dipakai kelompok APT pada setiap tahap proses dengan cermat. Rekomentasi untuk menghadapi serangan pun dipaparkan dalam laporan tersebut. Selain itu, juga terdapat aturan Sigma untuk mendeteksi serangan. Semua dapat memanfaatkan studi eksklusif yang tersedia secara umum ini.

Penelitian sangat bergantung pada alat, praktik dan metodologi analisis ancaman yang terkenal secara umum. Hal ini demi memastikan studi bisa diakses secara global dan bisa dipahami para peneliti dan pakar keamanan. Metodologi tersebut mencakup David Bianco’s Pyramid of Pain, F3EAD, MITRE ATT&CK, Respons Insiden Berbasis Intelijen dan Unified Cyber Kill Chain.

Baca juga: Solusi Berbasis Intelijen Jadi Tips Kaspersky Tangkal APT dan Ransomware

Temuan-temuan Utama dalam Studi Kaspersky

Kendati banyak serangan, jangkauan teknik yang ditemukan cukup terbatas, sehingga memungkinkan peneliti lebih mendalami analisisnya. Berikut ini adalah beberapa temuan utama penelitian tersebut:

• APT Asia tidak menunjukkan bias regional dalam pemilihan target. Korbannya tersebar di seluruh dunia, sehingga menantang siapa pun yang berusaha mengidentifikasi wilayah yang paling sering menjadi sasaran. Artinya, para penyerang menggunakan taktik yang konsisten di seluruh dunia, menunjukkan kemampuan mereka untuk menggunakan persenjataan yang seragam terhadap berbagai korban.
• Ciri utama penyerang adalah kemahiran dalam mengkombinasikan teknik sehingga dapat meningkatkan hak istimewa. Teknik-teknik yang mereka gunakan mencakup Create or Modify System Process (membuat atau memodifikasi proses sistem) dan Teknik Windows Layanan T1543.003. Mereka juga menggunakan 'Hijack Execution Flow: DLL Side-Loading T1574.002, taktik yang biasa dipakai untuk menghindari deteksi. Kombinasi strategis ini tampaknya menjadi ciri khas kelompok siber di Asia.
• Fokus utama kelompok-kelompok Asia ini adalah spionase dunia maya. Hal ini terbukti dengan upaya mereka mengumpulkan informasi sensitif dan menyalurkannya ke layanan cloud resmi atau saluran eksternal. Meskipun hal ini jarang terjadi, ada beberapa contoh di mana kelompok-kelompok ini menyimpang dari pola tersebut. Ini terlihat pada salah satu insiden yang diteliti yang melibatkan penggunaan ransomware dalam serangan tersebut.
• Industri yang paling menjadi sasaran mencakup pemerintahan, industri, kesehatan, teknologi informasi, pertanian, dan energi.

Sistematisasi berbagai TTP yang dipakai penyerang mengarah pada pengembangan seperangkat aturan SIGMA yang dibuat dengan cermat. Hal ini membantu spesialis keamanan dalam mendeteksi potensi serangan dalam infrastruktur mereka.

Baca juga: Selama Q1 2023, Makin Banyak Industri Jadi Sasaran APT

“Dalam dunia keamanan siber, pengetahuan adalah kunci pertahanan. Kami bertujuan memberdayakan pakar keamanan dengan wawasan dibutuhkan untuk tetap terdepan dan melindungi diri dari potensi ancaman melalui laporan ini. Kami mendesak seluruh komunitas keamanan siber untuk bergabung dengan kami dalam misi berbagi pengetahuan demi lanskap digital yang lebih kuat dan aman,” ucap Nikita Nazarov, Kepala Eksplorasi Ancaman di Kaspersky.

Alat, teknik, dan kampanye baru yang diluncurkan kelompok APT dalam serangan siber di seluruh dunia terus ditemukan peneliti Kaspersky. Lebih dari 900 operasi dan kelompok dipantau oleh para ahli perusahaan, dengan 90% upaya terkait spionase. Mereka membagikan temuan baru dan wawasan eksklusif mereka secara aktif melalui Kaspersky Threat Intelligence Portal (TIP). Kaspersky TIP berisi data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun. Portal ini dapat dijadikan titik akses tunggal untuk TI perusahaan.