Para pelaku kejahatan siber mampu mengambil kendali atas seluruh infrastruktur TI korban – untuk tujuan spionase industri. Pada Januari 2022, peneliti Kaspersky menyaksikan beberapa serangan lanjutan terhadap perusahaan militer dan organisasi publik.
Tujuan utama serangan tersebut adalah untuk mengakses informasi pribadi perusahaan dan untuk mendapatkan kendali atas sistem TI. Malware yang digunakan oleh penyerang mirip dengan yang disebarkan oleh TA428 APT, grup APT berbahasa Mandarin.
Bagaimana tanggapan anda mengenai artikel ini?
Penyerang menyusup ke jaringan perusahaan dengan mengirimkan email phishing yang dibuat secara hati-hati, beberapa di antaranya berisi informasi khusus organisasi mereka yang belum tersedia untuk umum pada saat email dikirim.
Ini menunjukkan bahwa penyerang sengaja mempersiapkan serangan dan memilih target mereka terlebih dahulu.
Email phishing menyertakan dokumen Microsoft Word dengan kode berbahaya untuk mengeksploitasi kerentanan yang memungkinkan penyerang mengeksekusi kode arbitrer tanpa aktivitas tambahan apa pun. Kerentanan ada di versi lama dari Microsoft Equation Editor, sebuah komponen dari Microsoft Office.
Selain itu, penyerang menggunakan enam pintu belakang (backdoor) yang berbeda secara bersamaan – untuk mengatur saluran komunikasi tambahan dengan sistem yang terinfeksi jika salah satu program berbahaya terdeteksi dan dihapus oleh solusi keamanan.
Backdoor ini menyediakan fungsionalitas sangat luas untuk mengontrol sistem yang terinfeksi dan mengumpulkan data rahasia.
Tahap akhir serangan melibatkan pembajakan pengontrol domain dan mendapatkan kendali penuh atas semua workstation dan server organisasi – dan dalam salah satu kasus, mereka bahkan mengambil alih pusat kendali solusi keamanan siber.
Setelah mendapatkan hak administrator domain dan akses ke Active Directory, penyerang menjalankan serangan “golden ticket (tiket emas)” untuk meniru akun pengguna organisasi secara sewenang-wenang dan mencari dokumen ataupun file lain berisikan data sensitif organisasi yang diserang.
Kemudian data tersebut disusupkan ke server penyerang yang diselenggarakan di berbagai negara.
“Serangan Golden Ticket memanfaatkan protokol otentikasi default yang telah digunakan sejak ketersediaan Windows 2000. Dengan memalsukan Tiket Pemberian Tiket (Ticket Granting Tickets) Kerberos di dalam jaringan perusahaan, penyerang dapat secara mandiri mengakses layanan apa pun yang dimiliki jaringan untuk waktu yang tidak terbatas.”
“Akibatnya, hanya mengubah kata sandi atau memblokir akun yang disusupi tidak akan cukup. Saran kami adalah memeriksa dengan cermat semua aktivitas yang mencurigakan dan mengandalkan solusi keamanan yang dapat dipercaya,” komentar Vyacheslav Kopeytsev, pakar keamanan di ICS CERT Kaspersky.
Untuk menjaga komputer ICS Anda terlindungi dari berbagai ancaman, pakar Kaspersky merekomendasikan bisnis:
1. Secara teratur memperbarui sistem operasi dan perangkat lunak aplikasi yang merupakan bagian dari jaringan perusahaan. Terapkan perbaikan dan tambalan keamanan ke peralatan jaringan TI dan OT segera setelah tersedia.
2. Melakukan audit keamanan berkala terhadap sistem TI dan Teknologi Operasional untuk mengidentifikasi dan menghilangkan kemungkinan kerentanan.
3. Gunakan solusi pemantauan, analisis, dan deteksi lalu lintas jaringan ICS untuk perlindungan yang lebih baik dari serangan yang berpotensi mengancam proses teknologi dan aset utama perusahaan.
4. Mengadakan pelatihan keamanan khusus untuk tim keamanan TI dan teknisi Teknologi Operasional, untuk meningkatkan respons terhadap teknik berbahaya baru dan lanjutan.
5. Menyediakan tim keamanan yang bertanggung jawab untuk melindungi sistem kontrol industri dengan intelijen ancaman terkini
6. Gunakan solusi keamanan untuk titik akhir teknologi operasional dan jaringan seperti Kaspersky Industrial CyberSecurity, untuk memastikan perlindungan menyeluruh untuk semua sistem kritis industry.
7. Melindungi infrastruktur TI juga tidak kalah pentingnya. Keamanan Titik Akhir Terintegrasi melindungi titik akhir perusahaan dan memungkinkan deteksi ancaman otomatis dan kemampuan respons dengan baik.
(MMI)
Artikel ini bersumber dari www.medcom.id.
