Advanced Persistent Threat (APT)

Advanced Persistent Threat adalah serangan melalui jaringan dimana orang yang tidak sah mendapatkan akses ke suatu jaringan dan menetap disana tanpa terdekteksi untuk waktu yang lama. Tujuannya lebih ke melakukan pencurian data daripada menimbulkan kerusakan terhadap jaringan maupun organisasi.

Ancaman APT secara khusus hanya menyerang industri atau organisasi tertentu dan biasanya untuk motif ekonomi maupun politis. Pola penyebarannya dibuat sedemikian rupa sehingga sulit untuk dideteksi. APT menargetkan organisasi di sektor yang memiliki informasi penting seperti pertahanan nasional, pabrik, dan industri keuangan. 

Karakteristik dari Advanced Persistent Threat menurut Bodmer, Kilger, Carpenter dan Jones :

1. Objectives
2. Timeliness
3. Resources
4. Risk tolerance
5. Skills and methods
6. Actions
7. Attack origination points
8. Numbers involved in the attack
9. Knowledge source

Perbedaan antara serangan APT dengan serangan keamanan biasa

                                   Serangan Keamanan Biasa:               Serangan APT :

Penyerang	Kebanyakan adalah perorangan	Kelompok terorganisir, canggih, dan sumber daya lengkap
Target	Tidak tentu, biasanya yang diserang hanya sistem-sistem tertentu	Organisasi-organisasi tertentu, institusi pemerintah, perusahaan-perusahan komersial
Tujuan	Manfaat finansial, menunjukkan kemampuan	Keuntungan kompetitif, manfaat-manfaat strategis
Pendekatan	Sekali serang dan selesai, jangka waktu pendek	Percobaan dilakukan berulang, mampu bersabar dalam percobaan penyerangan untuk mengenali sistem pertahanan targetnya, jangka waktu yang dibutuhkan lebih panjang

Cara Kerja APT

Salah satu karakteristik khas dari serangan-serangan APT adalah perencanaan yang dilakukan dengan sangat matang dengan tahapan-tahapan yang dirancang begitu rapi. Setiap serangan APT bisa melakukan teknik dan metode yang berbeda-beda. Namun demikian jika dilihat dari tahapan-tahapan yang dilakukan sebenarnya memiliki pola yang cukup tetap.

Tahapan Advanced Persistent Threat

Dalam aktivitasnya terdapat 4 tahapan dari APT :

• Incursion

Penyerang masuk ke dalam jaringan menggunakan social engineering untuk mengirim malware ke sistem dan orang yang rentan.

• Discovery

Setelah masuk, penyerang beraktivitas secara perlahan agar tidak terdeteksi. Kemudian mereka memetakan pertahanan dari organisasi dari dalam dan mempersiapkan taktik tempur dan meluncurkan beberapa untuk memastikan keberhasilan.

• Capture

Penyerang mengakses sistem yang tidak terlindungi dan mengambil informasi dalam jangka waktu lama. Secara diam-diam mereka juga menginstall malware untuk memperoleh data secara diam-diam ataupun mengacaukan operasi.

• Exfiltration

Informasi yang telah diperoleh dikirimkan ke penyerang untuk dianalisis dan rencana penyerangan lebih jauh.

5 Tanda serangan (APT):

1. Peningkatan Log On

APT dengan cepat meningkat dari mengkompromikan satu komputer menjadi mengambil alih banyak komputer atau seluruh lingkungan hanya dalam beberapa jam. Mereka melakukan ini dengan membaca database otentikasi, mencuri kredensial, dan menggunakannya kembali. Mereka mengetahui akun pengguna (atau layanan) mana yang memiliki hak istimewa dan izin yang lebih tinggi, kemudian masuk ke akun tersebut untuk mengkompromikan aset di lingkungan. Seringkali, volume tinggi log-on terjadi di malam hari karena pelaku tinggal di sisi lain dunia. Jika kamu tiba-tiba melihat volume log-on yang tinggi di beberapa server atau komputer individual bernilai tinggi saat kru kerja ada di rumah, maka berhati-hatilah, saat itu mungkin para peretas APT sedang beraksi.

2. Backdoor Skala Luas

Peretas APT sering menginstal program Trojan backdoor pada komputer yang dikompromikan dalam lingkungan yang dieksploitasi. Mereka melakukan ini untuk memastikan mereka selalu bisa kembali, bahkan jika kredensial masuk yang dicuri diubah ketika korban mendapat petunjuk. Ciri terkait lainnya, setelah ditemukan, peretas APT tidak hilang seperti peretas biasa. Kenapa begitu? Karena mereka memiliki atau menguasai komputer lain di lingkungan infrastruktur kamu. Saat ini, trojan seringkali disebarkan melalui rekayasa sosial yang menjadi jalan tol bagi peretas mengeksploitasi sebagian besar perusahaan. Mereka sangat umum di setiap lingkungan, dan mereka berkembang biak dalam serangan APT.

3. Aliran Data Besar

Cari aliran data besar yang tidak terduga dari titik asal internal ke komputer internal lain atau ke komputer eksternal. Bisa dari server ke server, server ke klien, atau jaringan ke jaringan. Alur data itu mungkin juga terbatas, tetapi ditargetkan, seperti seseorang yang mengambil email dari negara asing. Karena itu setiap klien email harus memiliki kemampuan untuk menunjukkan di mana pengguna terbaru masuk untuk mengambil email dan di mana pesan terakhir diakses. ESET misalnya memiliki ESET mail Security yang memiliki kemampuan untuk memilah dan memilih email yang masuk dan melakukan penyaringan dan memisahkan email yang berbahaya dari yang tidak tanpa berisiko terpapar oleh serangan siber.

4. Kumpulan Data Mencurigakan

APT sering mengumpulkan data curian ke tempat pengumpulan internal sebelum memindahkannya ke luar. Cari bongkahan besar (gigabyte, bukan megabytes) data yang muncul di tempat-tempat di mana data itu seharusnya tidak, terutama jika dikompresi dalam format arsip yang biasanya tidak digunakan oleh perusahaan kamu.

5. Spear Phising

Fokuskan pada serangan email spear phishing yang diarahkan pada karyawan perusahaan menggunakan file dokumen misalnya, Adobe Acrobat PDF, Microsoft Office Word, Microsoft Office Excel XLS, atau PPT Microsoft Office PowerPoint, yang berisi kode yang dapat dieksekusi atau tautan URL berbahaya. Ini adalah agen penyebab utama dalam sebagian besar serangan APT.

Tanda yang paling penting adalah bahwa serangan email spear phising tidak dikirim ke semua orang di perusahaan, tetapi sebaliknya ke target yang lebih selektif dari individu high profile seperti CEO, CFO, CISO, pemimpin proyek, atau pemimpin teknologi di dalam perusahaan, sering menggunakan informasi yang hanya bisa dipelajari oleh penyusup yang sebelumnya telah membahayakan anggota tim lainnya. Jika kamu mendengar tentang serangan spear phishing, terutama jika beberapa eksekutif telah dilaporkan ditipu untuk mengklik pada lampiran file, mulailah mencari empat tanda dan gejala lainnya.