Eksekutif keamanan perusahaan yang menganggap kelompok siber yang didukung negara-bangsa sebagai ancaman jauh mungkin ingin meninjau kembali asumsi itu, dan terburu-buru.
Beberapa peristiwa geopolitik baru-baru ini di seluruh dunia selama setahun terakhir telah mendorong peningkatan tajam dalam aktivitas negara-bangsa terhadap target-target penting, seperti otoritas pelabuhan, perusahaan IT, lembaga pemerintah, organisasi berita, perusahaan cryptocurrency, dan kelompok agama.
Sebuah analisis Microsoft tentang lanskap ancaman global selama setahun terakhir, dirilis 4 November, menunjukkan bahwa serangan siber yang menargetkan infrastruktur penting meningkat dua kali lipat, dari yang menyumbang 20% โโdari semua serangan negara menjadi 40% dari semua serangan yang dideteksi oleh peneliti perusahaan.
Selain itu, taktik mereka berubah โ terutama, Microsoft mencatat peningkatan dalam penggunaan eksploitasi zero-day.
Berbagai Faktor Mendorong Peningkatan Aktivitas Ancaman Negara-Bangsa
Tidak mengherankan, Microsoft mengaitkan sebagian besar lonjakan tersebut dengan serangan oleh kelompok ancaman yang didukung Rusia terkait dan mendukung perang negara di Ukraina. Beberapa serangan difokuskan pada perusakan infrastruktur Ukraina, sementara yang lain lebih terkait dengan spionase dan termasuk target di AS dan negara-negara anggota NATO lainnya. Sembilan puluh persen serangan siber yang didukung Rusia yang dideteksi Microsoft selama setahun terakhir menargetkan negara-negara NATO; 48% dari mereka diarahkan pada penyedia layanan TI di negara-negara tersebut.
Sementara perang di Ukraina mendorong sebagian besar aktivitas oleh kelompok-kelompok ancaman Rusia, faktor-faktor lain memicu peningkatan serangan oleh kelompok-kelompok yang disponsori oleh China, Korea Utara, dan Iran. Serangan oleh kelompok-kelompok Iran, misalnya, meningkat setelah pergantian presiden di negara itu.
Microsoft mengatakan pihaknya mengamati kelompok-kelompok Iran meluncurkan serangan perusakan disk di Israel serta apa yang digambarkan sebagai operasi peretasan dan kebocoran terhadap target di AS dan UE. Satu serangan di Israel memicu sinyal roket darurat di negara itu sementara yang lain berusaha menghapus data dari sistem korban.
Peningkatan serangan oleh kelompok Korea Utara bertepatan dengan lonjakan uji coba rudal di negara itu. Banyak serangan difokuskan pada pencurian teknologi dari perusahaan dan peneliti kedirgantaraan.
Kelompok-kelompok di China, sementara itu, meningkatkan serangan spionase dan pencurian data untuk mendukung upaya negara itu untuk memberikan lebih banyak pengaruh di kawasan itu, kata Microsoft. Banyak dari target mereka termasuk organisasi yang mengetahui informasi yang dianggap China memiliki kepentingan strategis untuk mencapai tujuannya.
Dari Rantai Pasokan Perangkat Lunak ke Rantai Penyedia Layanan TI
Pelaku negara-bangsa menargetkan perusahaan TI lebih banyak daripada sektor lain pada periode tersebut. Perusahaan IT, seperti penyedia layanan cloud dan penyedia layanan terkelola, menyumbang 22% dari organisasi yang ditargetkan kelompok ini tahun ini. Sektor-sektor lain yang menjadi sasaran utama termasuk lembaga think tank dan organisasi non-pemerintah yang lebih tradisional (17%), pendidikan (14%), dan lembaga pemerintah (10%).
Dalam menargetkan penyedia layanan TI, serangan itu dirancang untuk membahayakan ratusan organisasi sekaligus dengan melanggar satu vendor tepercaya, kata Microsoft. Serangan tahun lalu di Kaseya, yang mengakibatkan ransomware akhirnya didistribusikan untuk ribuan pelanggan hilir, adalah contoh awal.
Ada beberapa lainnya tahun ini, termasuk satu di bulan Januari di mana aktor yang didukung Iran berkompromi dengan penyedia layanan cloud Israel untuk mencoba dan menyusup ke pelanggan hilir perusahaan itu. Di tempat lain, kelompok berbasis di Lebanon bernama Polonium memperoleh akses ke beberapa organisasi pertahanan dan hukum Israel melalui penyedia layanan cloud mereka.
Serangan yang berkembang pada rantai pasokan layanan TI mewakili pergeseran dari fokus biasa yang dimiliki kelompok negara-bangsa pada rantai pasokan perangkat lunak, Microsoft mencatat.
Langkah-langkah yang direkomendasikan Microsoft untuk mengurangi paparan terhadap ancaman ini termasuk meninjau dan mengaudit hubungan penyedia layanan hulu dan hilir, mendelegasikan tanggung jawab manajemen akses istimewa, dan menegakkan akses yang paling tidak memiliki hak istimewa sesuai kebutuhan. Perusahaan juga merekomendasikan agar perusahaan meninjau akses untuk hubungan mitra yang tidak dikenal atau belum diaudit, mengaktifkan logging, meninjau semua aktivitas otentikasi untuk VPN dan infrastruktur akses jarak jauh, dan mengaktifkan MFA untuk semua akun.
Peningkatan dalam Zero-Days
Salah satu tren penting yang diamati Microsoft adalah bahwa kelompok negara-bangsa menghabiskan sumber daya yang signifikan untuk menghindari perlindungan keamanan yang telah diterapkan organisasi untuk mempertahankan diri dari ancaman canggih.
โSama seperti organisasi perusahaan, musuh mulai menggunakan kemajuan dalam otomatisasi, infrastruktur cloud, dan teknologi akses jarak jauh untuk memperluas serangan mereka terhadap target yang lebih luas,โ kata Microsoft.
Penyesuaian termasuk cara baru untuk mengeksploitasi kerentanan yang belum ditambal dengan cepat, teknik yang diperluas untuk melanggar perusahaan, dan peningkatan penggunaan alat yang sah dan perangkat lunak sumber terbuka untuk mengaburkan aktivitas berbahaya.
Salah satu manifestasi tren yang paling meresahkan adalah meningkatnya penggunaan eksploitasi kerentanan zero-day di antara aktor negara-bangsa dalam rantai serangan mereka. Penelitian Microsoft menunjukkan bahwa hanya antara Januari dan Juni tahun ini, patch dirilis untuk 41 kerentanan zero-day antara Juli 2021 dan Juni 2022.
Menurut Microsoft, aktor ancaman yang didukung China sangat mahir dalam menemukan dan menemukan eksploitasi zero-day baru-baru ini. Perusahaan mengaitkan tren tersebut dengan peraturan China baru yang mulai berlaku pada September 2021; itu mengharuskan organisasi di negara tersebut untuk melaporkan setiap kerentanan yang mereka temukan kepada otoritas pemerintah China untuk ditinjau sebelum mengungkapkan informasi tersebut kepada orang lain.
Contoh ancaman zero-day yang termasuk dalam kategori ini meliputi: CVE-2021-35211, kelemahan eksekusi kode jarak jauh dalam perangkat lunak SolarWinds Serv-U yang dieksploitasi secara luas sebelum ditambal pada Juli 2021; CVE-2021-40539, a kerentanan bypass otentikasi kritis di Zoho ManageEngine ADSelfService Plus, ditambal September lalu; dan CVE-2022-26134, kerentanan dalam Ruang Kerja Pertemuan Atlassian bahwa aktor ancaman China secara aktif mengeksploitasi sebelum patch tersedia pada bulan Juni.
โPeraturan baru ini mungkin memungkinkan elemen-elemen di pemerintah China untuk menimbun kerentanan yang dilaporkan untuk dijadikan senjata,โ Microsoft memperingatkan, menambahkan bahwa ini harus dilihat sebagai langkah besar dalam penggunaan eksploitasi zero-day sebagai prioritas negara.
.
