Ahli Jelaskan Bahaya Peretasan Dari Volt Typhoon

JAKARTA - Belakangan ini, Microsoft dan sejumlah pihak berwenang dari berbagai negara memperingatkan bahwa kelompok hacker China telah memata-matai infrastruktur penting di berbagai industri di Amerika Serikat (AS).
 
Serangkaian aktivitas kelompok peretas (hacker) asal China, Volt Typhoon, disinyalir menargetkan organisasi penting untuk memanfaatkan perangkat yang memungkinkan pelaku untuk menyamar di dalam sistem Windows dan aktivitas jaringan pada umumnya, serta mampu menghindari pemindaian sistem endpoint detection and response (EDR).
 
Penyelidikan yang dilakukan oleh Microsoft terhadap aktivitas berbahaya Volt Typhoon mengungkap bahwa infrastruktur penting dapat disusupi peretas menggunakan serangan siber Living-Off-Lotland (LotL).
 
Vice President and Regional Chief Security Officer for Asia Pacific & Japan, Palo Alto Networks, Sean Duca menjelaskan, teknik ini melibatkan penyerang yang memanfaatkan perangkat yang ada pada sistem yang telah disusupi untuk melakukan serangan.
 
"Perangkat tersebut mencakup PowerShell, WMI, antarmuka command-line, dan file batch," katanya dalam keterangan tertulis, Selasa (30/5).
 
Ia menjelaskan, serangan LotL biasanya terdiri dari tiga fase. Pertama, di tahap pengintaian, penyerang mengumpulkan informasi tentang sistem yang disusupi, termasuk arsitektur sistem, versi perangkat lunak, konfigurasi jaringan, dan hak istimewa pengguna (user privilege).
 
"Hal ini dapat membantu mengidentifikasi kekuatan, kelemahan, dan jalur eksploitasi yang paling berpotensi," sebutnya.
 
Kedua, selama fase akses awal, pelanggaran terjadi karena kerentanan pada perangkat jaringan atau aktivitas pengguna yang tidak aman, seperti mengunjungi situs web berbahaya, membuka email phishing, atau menggunakan USB yang terinfeksi.
 
"Seluruh aktivitas tersebut telah disusupi oleh skrip tanpa file (fileless script) yang berbahaya," kata dia.
 
Ketiga, eksekusi aktivitas berbahaya melibatkan peningkatan hak istimewa, data exfiltration, dan modifikasi konfigurasi sistem. Operasi ini berfokus pada taktik menghindari ‘radar’ pemindai sistem keamanan dengan baik, sehingga tujuan peretas dapat tercapai.
 
Sebagai langkah mitigasi, Sean menyarankan baik perusahaan, pemerintah, dan penyedia infrastruktur inti perlu merevisi strategi keamanan siber mereka untuk mengatasi ancaman yang semakin canggih, dengan mengintegrasikan pertahanan berbasis host dan jaringan.
 
Ia mengatakan hanya mengandalkan pemindaian endpoint (titik akhir) saja tetap membuka kesempatan bagi penyerang untuk menghindari deteksi, namun di sisi lain, pertahanan berbasis jaringan dapat meneliti pola lalu lintas dan komunikasi yang tidak terduga.
 
"Maka, strategi yang paling efektif adalah dengan menggunakan pertahanan berbasis titik akhir dan jaringan secara bersamaan, menggunakan wawasan dari satu sistem untuk meningkatkan sistem lainnya dan bekerja sama untuk melindungi organisasi dengan lebih baik," sarannya.
 
Selain itu di tingkat pengguna akhir, dengan menerapkan application whitelisting, pengguna dapat memastikan bahwa hanya aplikasi yang disetujui dan terpercaya yang dapat beroperasi dalam jaringan.
 
"Tindakan proaktif ini membatasi eksekusi program atau skrip yang tidak sah, mengurangi risiko serangan LOtL," ucap dia.
 
Menurut pengamatannya, penyerang LotL juga mengeksploitasi kerentanan yang ditemukan pada perangkat lunak versi lama untuk mendapatkan akses yang tidak terautentikasi.
 
Oleh karena itu, ia mengimbau untuk pemindaian otomatis serta pembaruan sistem di seluruh jaringan sangatlah penting untuk meminimalkan risiko.
 
Selain itu, dengan menggunakan solusi manajemen akses canggih berkemampuan AI, para ahli keamanan siber dapat lebih fokus pada kecerdasan dan otomatisasi sambil membiarkan solusi tersebut mengelola informasi dan kejadian.
 
"Sehingga memungkinkan waktu deteksi dan respons yang sangat cepat dan hampir real-time," imbuhnya.