AwalArtikelPeretas Tiongkok: serangan memanfaatkan kelemahan yang diketahui sejak 2021

Peretas Tiongkok: serangan memanfaatkan kelemahan yang diketahui sejak 2021

Serangan baru-baru diduga dilakukan oleh kelompok Cina Salt Typhoon pada perusahaan telekomunikasi dan negara – di antara mereka akan ada Brasil – meninggalkan seluruh dunia dalam waspada. Berita-berita membicarakan tingkat kecanggihan penjajahan dan, yang mana adalah lebih mengkhawatirkan – para penjahat, secara teoritis, masih akan berada dalam jaringan-jaringan perusahaan tersebut

Informasi pertama tentang kelompok ini muncul di 2021, ketika tim Threat Intelligence dari Microsoft membocorkan informasi tentang bagaimana China dikatakan telah menyusup dengan sukses di beberapa penyedia layanan internet, untuk mengawasi perusahaan-perusahaan – dan menangkap data. Salah dari serangan pertama dilakukan oleh kelompok adalah dari dari sebuah pelanggaran di router Cisco, yang melayani sebagai sebuah gateway untuk memantau aktivitas internet yang terjadi melalui perangkat tersebut. Sekali bahwa aksesnya diperolehkan, para peretas berhasil memperluas jangkauan mereka ke jaringan tambahan. Pada Oktober 2021, kaspersky mengkonfirmasi bahwa para penjahat siber sudah telah memperluas serangan ke negara lain seperti Vietnam, Indonesia, Thailand, Malaysia Mesir, Etiopia dan Afghanistan. 

Jika kerentanan pertama sudah diketahui sejak 2021 – mengapa kita masih diserang? Jawabannya adalah, justru, dalam bagaimana kita menangani dengan kerentanan ini di hari ke hari

Metode pemerkosaan

Sekarang, pada hari-hari terakhir, informasi dari pemerintah AS mengkonfirmasi serangkaian serangan pada ⁇ perusahaan dan negara ⁇ – yang akan terjadi dari dari kerentanan yang diketahui dalam aplikasi dari VPN, dari produsen Ivanti, di Fortinet Forticlient EMS, digunakan untuk melakukan pemantauan di server, di firewalls Sophos dan juga di server Microsoft Exchange. 

Kerentanan Microsoft diungkapkan pada 2021 ketika, segera di sekuel, perusahaan mempublikasikan koreksi-koreksi. Kelemahan di firewalls Sophos telah diterbitkan pada 2022 – dan dikoreksi pada September 2023. Masalah-masalah yang ditemukan di Forticlient menjadi umum pada 2023, dan dikoreksi pada Maret 2024 – serta seperti yang dari Ivanti, yang juga memiliki CVE (Common Vulnerabilities and Exposures) mereka tercatat pada 2023. Perusahaan, sementara, hanya membetulkan kerentanan pada Oktober lalu. 

Semua kerentanan ini memungkinkan bahwa para penjahat dengan mudah menyusup ke dalam jaringan yang diserang, menggunakan kredensial dan softwarenya sah, yang membuat pendeteksian invasi ini hampir mustahil. Mulai dari situ, para penjahat berpindah secara lateral dalam jaringan tersebut, menanam malwares, yang membantu dalam pekerjaan mata-mata jangka panjang. 

Apa yang mengkhawatirkan dalam serangan terbaru adalah bahwa metode yang digunakan oleh hacker kelompok Salt Typhoon adalah konsisten dengan taktik-taktik jangka panjang yang diamati dalam kampanye sebelumnya dikaitkan dengan agen negara bagian Tiongkok. Metode-metode ini termasuk penggunaan kredensial yang sah untuk menutupi aktivitas jahat seperti operasi rutinitas, menyulitkan pengidentifikasian oleh sistem keamanan konvensional. Fokus pada softwares yang banyak digunakan, seperti VPNs dan firewalls, menunjukkan pengetahuan yang mendalam tentang kerentanan di lingkungan korporat dan pemerintah

Masalah kerentanan

Kerentanan yang dieksploitasi juga mengungkapkan sebuah pola yang mengkhawatirkan: keterlambatan dalam penerapan patch dan pembaruan. Meskipun koreksi yang disediakan oleh produsen, realitas operasional banyak perusahaan menyulitkan implementasi segera solusi tersebut. Tes-tes kompatibilitas, kebutuhan untuk menghindari gangguan pada sistem kritis misi; dan, dalam beberapa kasus, kurangnya kesadaran tentang keparahan kegagalan berkontribusi pada peningkatan jendela paparan

Persoalan ini tidak hanya teknis, tapi juga organisasional dan strategis, yang melibatkan proses, prioritas dan, sering kali, budaya korporat

Sebuah aspek kritis adalah bahwa banyak perusahaan memperlakukan penerapan patch sebagai sebuah tugas ⁇ secondary ⁇ dibandingkan dengan kelanjutan operasional. Ini menciptakan apa yang disebut dilema dari downtime, di mana para pemimpin harus memutuskan antara penghentian sementara layanan untuk memperbarui sistem dan risiko potensial dari sebuah eksploitasi masa depan. Namun, serangan baru-baru ini menunjukkan bahwa menunda upgrade-upgrade ini dapat keluar jauh lebih mahal, baik dalam hal keuangan maupun reputasi

Selain itu, tes kompatibilitas adalah sebuah kesesakan umum. Banyak lingkungan korporat, terutama di sektor-sektor seperti telekomunikasi, beroperasi dengan sebuah kombinasi kompleks dari teknologi warisan dan modern. Ini membuat bahwa setiap pembaruan menuntut upaya yang cukup besar untuk memastikan bahwa patch tidak menyebabkan masalah pada sistem bergantung. Jenis kepedulian itu bisa dimengerti, tetapi dapat dikurangi dengan penerapan praktik-praktik seperti lingkungan pengujian yang lebih robust dan proses otomatisasi validasi

Poin lain yang berkontribusi pada keterlambatan dalam penerapan patch adalah kurangnya kesadaran tentang keparahan kegagalan. Seringkali, tim-tim IT meremehkan pentingnya CVE tertentu, terutama ketika ia tidak secara luas dieksploitasi hingga saat ini. Masalahnya adalah bahwa jendela peluang bagi para penyerang dapat terbuka sebelum organisasi-organisasi menyadari keseriusan masalah. Ini adalah sebuah bidang di mana kecerdasan ancaman dan komunikasi jelas antara vendor teknologi dan perusahaan dapat membuat semua perbedaan

Akhirnya, perusahaan perlu mengadopsi pendekatan yang lebih proaktif dan diprioritaskan untuk manajemen kerentanan, yang mencakup otomatisasi proses-proses patching, segmentasi dari jaringan, membatasi dampak dari kemungkinan invasi, rutinitas dari mensimulasikan secara teratur kemungkinan serangan, yang membantu menemukan potensi titik lemah

Masalah dari keterlambatan dalam patch dan pembaruan bukan hanya sebuah tantangan teknis, tapi juga sebuah kesempatan bagi organisasi-organisasi untuk mengubah pendekatan keamanan mereka, membuatnya lebih lincah, adaptif dan resilien. Di atas segalanya, modus operasi ini tidak baru, dan ratusan dari serangan lainnya dilakukan dengan yang samametode operasi, dari dari kerentanan yang digunakan sebagai pintu masuk. Memanfaatkan pelajaran itu bisa menjadi perbedaan antara menjadi korban atau menjadi siap untuk serangan berikutnya

Felipe Guimaraes
Felipe Guimaraes
Felipe Guimarães adalah Chief Information Security Officer, dari Solo Iron
ARTIKEL TERKAIT

TERKINI

PALING POPULER

[izin_cookie_elfsight id="1"]