Tim Intelijen Ancaman Siber Kaspersky telah menerbitkan studi monumental tentang Taktik, Teknik, dan Prosedur (TTP) APT (Ancaman persisten tingkat lanjut) Asia, yang memberikan informasi paling komprehensif mengenai pendekatan yang diidentifikasi selama penyelidikan. Studi eksklusif ini tersedia secara umum dan dirancang untuk meningkatkan pemahaman tentang cara kerja kelompok APT kontemporer, serta mekanisme pertahanan yang efektif.
Tim Kaspersky Cyber Threat Intelligence menganalisis sekitar seratus insiden yang terjadi di berbagai wilayah di seluruh dunia, mulai tahun 2022. Tim tersebut menggunakan metodologi Unified Kill Chain untuk melakukan studi komprehensif mengenai tindakan para penyerang, berdasarkan pada TTP yang digunakan oleh para penyerang.
Dalam laporan tersebut, para ahli memberikan wawasan mengenai lima insiden spesifik yang terjadi di Rusia dan Belarus, Indonesia, Malaysia, Argentina, dan Pakistan. Negara-negara tersebut masing-masing mewakili sifat serangan yang tersebar secara geografis. Dalam laporan analitik sejumlah 370 halaman ini, TTP yang digunakan oleh kelompok APT pada setiap tahap proses serangan didokumentasikan dengan cermat.
Selain itu, laporan ini juga menawarkan rekomendasi untuk memerangi serangan tersebut, dan mencakup aturan Sigma yang dapat digunakan untuk mendeteksi serangan tersebut. Demi memastikan studi ini dapat diakses secara global dan dapat dipahami oleh para peneliti dan pakar keamanan, penelitian ini sangat bergantung pada alat, praktik, dan metodologi analisis ancaman yang terkenal secara internasional, seperti MITRE ATT&CK, F3EAD, David Bianco's Pyramid of Pain, Respons Insiden Berbasis Intelijen, dan Unified Cyber Kill Chain.
Penelitian ini mengungkapkan bahwa, meskipun terdapat banyak serangan, jangkauan teknik yang ditemui masih terbatas, sehingga memungkinkan para peneliti untuk menggali lebih dalam analisis mereka.
Berikut adalah beberapa temuan utama: APT Asia tidak menunjukkan bias regional dalam pemilihan target.
Korbannya tersebar di seluruh dunia, sehingga menimbulkan tantangan bagi siapa pun yang mencoba mengidentifikasi wilayah mana yang paling sering menjadi sasaran. Hal ini berarti para penyerang menggunakan taktik yang konsisten di seluruh dunia, menunjukkan kemampuan mereka untuk menggunakan persenjataan yang seragam terhadap berbagai korban. Ciri utama dari penyerang ini adalah kemahiran mereka dalam menggunakan kombinasi teknik.
Mereka menggunakan 'Buat atau Ubah Proses Sistem (Create or Modify System Process): Teknik Windows Layanan T1543.003,' yang memungkinkan mereka meningkatkan hak istimewa. Mereka juga menggunakan 'Hijack Execution Flow: DLL Side-Loading T1574.002,' sebuah taktik yang biasa digunakan untuk menghindari deteksi. Kombinasi strategis ini tampaknya menjadi ciri khas kelompok siber di Asia.
Fokus utama kelompok-kelompok Asia ini adalah spionase dunia maya, sebagaimana dibuktikan dengan upaya mereka mengumpulkan informasi sensitif dan menyalurkannya ke layanan cloud yang sah atau saluran eksternal. Meskipun hal ini jarang terjadi, ada beberapa contoh di mana kelompok-kelompok ini menyimpang dari pola tersebut, seperti yang terlihat dalam salah satu insiden yang diteliti yang melibatkan penggunaan ransomware dalam serangan tersebut. Industri yang paling menjadi sasaran meliputi pemerintahan, industri, kesehatan, teknologi informasi, pertanian, dan energi.
Sistematisasi berbagai TTP yang digunakan oleh penyerang telah mengarah pada pengembangan seperangkat aturan SIGMA yang dibuat dengan cermat, membantu spesialis keamanan dalam mendeteksi potensi serangan dalam infrastruktur mereka.
“Dalam dunia keamanan siber, pengetahuan adalah kunci pertahanan. Melalui laporan ini, kami bertujuan untuk memberdayakan pakar keamanan dengan wawasan yang mereka perlukan untuk tetap menjadi yang terdepan dan melindungi diri dari potensi ancaman. Kami mendesak seluruh komunitas keamanan siber untuk bergabung dengan kami dalam misi berbagi pengetahuan demi lanskap digital yang lebih kuat dan aman,” komentar Nikita Nazarov, Kepala Eksplorasi Ancaman di Kaspersky.
Peneliti Kaspersky terus menemukan alat, teknik, dan kampanye baru yang diluncurkan oleh kelompok APT dalam serangan siber di seluruh dunia. Para ahli perusahaan memantau lebih dari 900 operasi dan kelompok, dengan 90% upaya terkait spionase. Mereka secara aktif membagikan temuan terbaru dan wawasan eksklusif mereka melalui Kaspersky Threat Intelligence Portal (TIP). Kaspersky TIP adalah titik akses tunggal untuk TI perusahaan, yang menyediakan data dan wawasan serangan siber yang dikumpulkan oleh Kaspersky selama lebih dari 20 tahun.
Baca Juga: Kaspersky: 1 dari 5 Pengguna Online di RI Jadi Korban Serangan Siber
Baca Juga: Panduan Orang Tua Mengawasi Prilaku Anak Saat Bermain Smartphone