Golden Ticket Untuk Spionase Industri: Grup APT Mengambil Alih Infrastruktur TI

Ilustrasi

BISNISASIA.CO.ID, JAKARTA – Kaspersky ICS CERT telah mendeteksi gelombang serangan yang ditargetkan pada perusahaan kompleks industri militer dan lembaga publik di beberapa negara Eropa Timur dan di Afghanistan. Para pelaku kejahatan siber mampu mengambil kendali atas seluruh infrastruktur TI korban – untuk tujuan spionase industri.

Pada Januari 2022, peneliti Kaspersky menyaksikan beberapa serangan lanjutan terhadap perusahaan militer dan organisasi publik. Tujuan utama serangan tersebut adalah untuk mengakses informasi pribadi perusahaan dan untuk mendapatkan kendali atas sistem TI. Malware yang digunakan oleh penyerang mirip dengan yang disebarkan oleh TA428 APT, grup APT berbahasa Mandarin.

Penyerang menyusup ke jaringan perusahaan dengan mengirimkan email phishing yang dibuat secara hati-hati, beberapa di antaranya berisi informasi khusus organisasi mereka yang belum tersedia untuk umum pada saat email dikirim. Ini menunjukkan bahwa penyerang sengaja mempersiapkan serangan dan memilih target mereka terlebih dahulu. Email phishing menyertakan dokumen Microsoft Word dengan kode berbahaya untuk mengeksploitasi kerentanan yang memungkinkan penyerang mengeksekusi kode arbitrer tanpa aktivitas tambahan apa pun. Kerentanan ada di versi lama dari Microsoft Equation Editor, sebuah komponen dari Microsoft Office.

Selain itu, penyerang menggunakan enam pintu belakang (backdoor) yang berbeda secara bersamaan – untuk mengatur saluran komunikasi tambahan dengan sistem yang terinfeksi jika salah satu program berbahaya terdeteksi dan dihapus oleh solusi keamanan. Backdoor ini menyediakan fungsionalitas sangat luas untuk mengontrol sistem yang terinfeksi dan mengumpulkan data rahasia.

Tahap akhir serangan melibatkan pembajakan pengontrol domain dan mendapatkan kendali penuh atas semua workstation dan server organisasi – dan dalam salah satu kasus, mereka bahkan mengambil alih pusat kendali solusi keamanan siber. Setelah mendapatkan hak administrator domain dan akses ke Active Directory, penyerang menjalankan serangan “golden ticket (tiket emas)” untuk meniru akun pengguna organisasi secara sewenang-wenang dan mencari dokumen ataupun file lain berisikan data sensitif organisasi yang diserang. Kemudian data tersebut disusupkan ke server penyerang yang diselenggarakan di berbagai negara.

Penjahat Dunia Maya Menggunakan Taktik Baru Untuk Mencuri Kredensial Perusahaan Industri

“Serangan Golden Ticket memanfaatkan protokol otentikasi default yang telah digunakan sejak ketersediaan Windows 2000. Dengan memalsukan Tiket Pemberian Tiket (Ticket Granting Tickets) Kerberos di dalam jaringan perusahaan, penyerang dapat secara mandiri mengakses layanan apa pun yang dimiliki jaringan untuk waktu yang tidak terbatas. Akibatnya, hanya mengubah kata sandi atau memblokir akun yang disusupi tidak akan cukup. Saran kami adalah memeriksa dengan cermat semua aktivitas yang mencurigakan dan mengandalkan solusi keamanan yang dapat dipercaya,” komentar Vyacheslav Kopeytsev, pakar keamanan di ICS CERT Kaspersky.

Untuk menjaga komputer ICS Anda terlindungi dari berbagai ancaman, pakar Kaspersky merekomendasikan bisnis:

  • Secara teratur memperbarui sistem operasi dan perangkat lunak aplikasi yang merupakan bagian dari jaringan perusahaan. Terapkan perbaikan dan tambalan keamanan ke peralatan jaringan TI dan OT segera setelah tersedia
  • Melakukan audit keamanan berkala terhadap sistem TI dan Teknologi Operasional untuk mengidentifikasi dan menghilangkan kemungkinan kerentanan
  • Gunakan solusi pemantauan, analisis, dan deteksi lalu lintas jaringan ICS untuk perlindungan yang lebih baik dari serangan yang berpotensi mengancam proses teknologi dan aset utama perusahaan
  • Mengadakan pelatihan keamanan khusus untuk tim keamanan TI dan teknisi Teknologi Operasional, untuk meningkatkan respons terhadap teknik berbahaya baru dan lanjutan
  • Menyediakan tim keamanan yang bertanggung jawab untuk melindungi sistem kontrol industri dengan intelijen ancaman terkini. Layanan Pelaporan Intelijen Ancaman ICS kami memberikan wawasan tentang ancaman dan vektor serangan saat ini, serta elemen yang paling rentan dalam sistem kontrol industri dan cara menguranginya
  • Gunakan solusi keamanan untuk titik akhir teknologi operasional dan jaringan seperti Kaspersky Industrial CyberSecurity, untuk memastikan perlindungan menyeluruh untuk semua sistem kritis industry
  • Melindungi infrastruktur TI juga tidak kalah pentingnya. Keamanan Titik Akhir Terintegrasi melindungi titik akhir perusahaan dan memungkinkan deteksi ancaman otomatis dan kemampuan respons dengan baik.(BA-06)

TINGGALKAN KOMENTAR

Silakan masukkan komentar anda!
Silakan masukkan nama Anda di sini