Trace Id is missing

Tinjauan Threat Intelligence Tahun 2023: Wawasan dan Perkembangan Utama

Bagikan
Lingkaran merah di langit

Ini merupakan tahun luar biasa bagi Microsoft Threat Intelligence. Besarnya volume ancaman dan serangan yang terungkap melalui lebih dari 65 triliun sinyal yang kami pantau setiap hari telah memberi kami banyak titik balik, terutama ketika kami melihat adanya perubahan dalam cara pelaku ancaman menskalakan dan memanfaatkan dukungan negara bangsa. Tahun lalu terjadi lebih banyak serangan dibandingkan tahun-tahun sebelumnya, dan rantai serangan menjadi kian kompleks dari hari ke hari. Waktu jeda (dwell time) menjadi semakin singkat. Taktik, teknik, dan prosedur (TTP) telah berevolusi menjadi lebih gesit dan semakin lihai mengelak. Mengamati kembali detail insiden ini akan membantu kita dalam memahami pola, sehingga kita dapat menentukan cara untuk merespons, serta mengantisipasi ke arah mana ancaman tersebut akan bergerak selanjutnya. Tinjauan kami mengenai TTP dari tahun 2023 bertujuan untuk memberikan gambaran umum komprehensif mengenai lanskap inteligensi ancaman, melalui apa yang kami pantau di dalam insiden di seluruh dunia. Berikut adalah beberapa sorotan yang saya dan Sherrod DeGrippo ingin bagikan kepada Anda, di samping beberapa cuplikan video yang diambil dari diskusi kami di Ignite 2023.

John Lambert,
Microsoft Corporate Vice President and Security Fellow

Taksonomi penamaan pelaku ancaman

Pada tahun 2023, Microsoft beralih ke taksonomi penamaan yang baru untuk pelaku ancaman. Taksonomi ini bertema cuaca, yang (1) lebih sesuai, mengingat kompleksitas, skala, dan volume ancaman modern, serta (2) memberikan cara yang lebih terorganisir, gampang diingat, dan mudah untuk menamai kelompok musuh.1

Microsoft mengategorikan pelaku ancaman ke dalam lima kelompok utama:

Operasi pengaruh negara bangsa: Blizzard, Tempest, Flood, Tsunami, Storm, Sandstorm, Sleet.

Di dalam taksonomi kami yang baru, peristiwa cuaca atau nama famili mewakili salah satu kategori di atas. Pelaku ancaman dalam famili cuaca yang sama diberi sebuah kata sifat untuk membedakannya dari kelompok lain, kecuali untuk kelompok dalam pengembangan yang diberi nomor empat digit.

Tren taktik, teknik, dan prosedur ancaman (TTP) tahun 2023

Menghindari program jahat dan alat kustom

Kelompok pelaku ancaman yang menekankan pada kerahasiaan telah secara selektif menghindari penggunaan program jahat kustom. Sebaliknya, mereka menggunakan alat dan proses yang telah ada di perangkat korban, dalam rangka menyembunyikan diri bersama-sama pelaku ancaman lain yang juga menggunakan metode serupa untuk melancarkan serangan. 2

Corporate Vice President and Security Fellow di Microsoft, John Lambert, berkomentar singkat tentang bagaimana pelaku ancaman menghindari alat kustom yang mencolok untuk mencapai kerahasiaan. Tonton video di bawah ini:

Mengombinasikan operasi cyber dan operasi pengaruh (IO)

Selama musim panas, Microsoft memantau pelaku negara bangsa tertentu yang mengombinasikan metode operasi cyber dan operasi pengaruh (IO) ke dalam suatu hibrida baru yang kami namai “operasi pengaruh cyber.” Taktik baru ini membantu para pelaku untuk mendongkrak, membesar-besarkan, atau menutupi kelemahan mereka di dalam kemampuan serangan cyber atau akses jaringan. 3 Metode cyber tersebut mencakup taktik seperti pencurian data, perusakan, DDoS, dan ransomware yang dikombinasikan dengan metode pengaruh seperti kebocoran data, sockpuppet (identitas palsu), menyamar sebagai korban, media sosial, serta komunikasi SMS/email.
Rangkaian metode cyber dan pengaruh yang ramah web

Penyusupan perangkat edge jaringan kantor kecil dan kantor rumah (SOHO)

Pelaku ancaman merakit jaringan rahasia dari perangkat edge jaringan kantor kecil/kantor rumah (SOHO). Mereka bahkan menggunakan program untuk membantu menemukan titik akhir yang rentan di seluruh dunia. Teknik ini akan memperumit atribusi, sehingga serangan bisa muncul dari mana saja.4

Di dalam video berdurasi 35 detik ini, John Lambert dari Microsoft menjelaskan lebih jauh, tentang mengapa pelaku ancaman menganggap perangkat edge jaringan SOHO sebagai target yang menarik. Tonton video di bawah ini:

Pelaku ancaman memperoleh akses awal melalui beragam cara

Di Ukraina dan lokasi lain, peneliti Microsoft Threat Intelligence telah memantau pelaku ancaman yang memperoleh akses awal ke target dengan menggunakan beragam perangkat. Taktik dan teknik umum meliputi eksploitasi aplikasi yang terhubung ke internet, perangkat lunak bajakan dengan pintu belakang (backdoor), dan spear phishing. 5 reaktif, dengan cepat melonjakkan operasi cyber dan operasi pengaruh mereka pascaserangan Hamas untuk melawan Israel.

Menyamar sebagai korban untuk menambah kredibilitas

Tren operasi pengaruh cyber yang meningkat melibatkan penyamaran, dengan berpura-pura menjadi organisasi korban atau tokoh pemimpin organisasi tersebut, untuk menambahkan kredibilitas pada dampak serangan atau penyusupan cyber. 6

Adopsi cepat pembuktian konsep (proof of concept/POC) yang diungkapkan secara publik untuk akses awal dan persistensi

Microsoft semakin sering memantau subkelompok negara-bangsa tertentu yang mengadopsi kode pembuktian konsep (POC) yang diungkapkan secara publik. Mereka melakukannya segera setelah dirilis untuk mengeksploitasi kerentanan dalam aplikasi yang terhubung ke internet. 7

 

Gambar di bawah ini mengilustrasikan dua rantai serangan yang terpantau oleh Microsoft. Serangan-serangan ini digemari oleh subkelompok negara bangsa. Pada kedua rantai, penyerang menggunakan Impacket untuk bergerak secara lateral.

Ilustrasi rantai serangan.

Pelaku ancaman berupaya menggunakan pesan SMS massal untuk menghubungi audiens target

Microsoft memantau sejumlah pelaku yang berupaya menggunakan pesan SMS massal untuk meningkatkan amplifikasi dan efek psikologis dari operasi pengaruh cyber mereka. 8

Kedua gambar bersebelahan di bawah ini menyajikan dua pesan SMS dari pelaku ancaman yang menyamar sebagai jaringan olahraga Israel. Pesan di sebelah kiri memuat tautan ke halaman web Sport5 yang dirusak. Pesan di sebelah kanan memberikan peringatan, “Jika menyayangi hidup Anda, jangan berwisata ke negara kami.”

Telegram Grup Atlas: Cuplikan layar SMS yang menyamar sebagai jaringan olahraga Israel.

Operasi media sosial meningkatkan keterlibatan audiens yang efektif

Di media sosial, operasi pengaruh terselubung kini mulai berhasil melibatkan audiens target secara lebih intens dibandingkan operasi yang terpantau sebelumnya. Operasi ini menunjukkan kecanggihan dan pengembangan aset IO online yang semakin terasah.9

 

Berikut adalah gambar Black Lives Matter yang awalnya diunggah oleh akun otomatis milik sebuah kelompok negara bangsa. Tujuh jam sesudahnya, gambar ini kembali diunggah oleh sebuah akun yang menyamar sebagai pemilih konservatif AS.

Pernyataan yang mendukung Black Lives Matter, mengutuk diskriminasi, kekerasan polisi, mengadvokasikan martabat, dan keselamatan

Spesialisasi di dalam ekonomi pemerasan

Tren operator ransomware pada tahun 2023 semakin condong ke arah spesialisasi, mereka memilih untuk berfokus pada sejumlah kecil kemampuan dan layanan. Spesialisasi ini menyebabkan dampak yang meluas, menebar komponen serangan ransomware pada sejumlah penyedia di dalam perekonomian bawah tanah yang kompleks. Menanggapi hal tersebut, Microsoft Threat Intelligence melacak para penyedia secara individual, mencatat lalu lintas di dalam akses awal dan kemudian layanan lainnya.10

 

Di dalam sebuah segmen video yang diambil dari Ignite, Director of Threat Intelligence Strategy dari Microsoft Threat Intelligence, Sherrod DeGrippo, menjelaskan kondisi ekonomi layanan ransomware saat ini. Tonton video di bawah ini:

Penggunaan perkakas kustom yang stabil

Meskipun beberapa kelompok dengan aktif menghindari program jahat kustom untuk tujuan bersembunyi (lihat “Menghindari alat kustom dan program jahat” di atas), kelompok lain tidak lagi memakai alat yang tersedia untuk publik serta skrip sederhana. Mereka lebih menyukai pendekatan yang dirancang khusus dan memerlukan kepiawaian lebih tinggi.11

Menarget Infrastruktur

Organisasi infrastruktur—fasilitas pengolahan air, operasi maritim, organisasi transportasi—tidak memuat jenis data berharga yang menarik bagi sebagian besar spionase cyber karena tidak mengandung nilai kecerdasan tinggi. Akan tetapi, infrastruktur tersebut tetap menawarkan nilai disrupsi. 12

 

John Lambert dari Microsoft menyajikan secara singkat paradoks spionase cyber: sebuah target yang tampaknya tidak memuat data. Tonton video di bawah ini:

Seperti yang bisa Anda lihat pada perincian 11 item dari tahun 2023 yang baru saja kami tinjau, lanskap ancaman terus berevolusi, kecanggihan dan frekuensi serangan cyber terus meningkat. Tidak perlu diragukan, 300+ pelaku ancaman yang kami lacak akan selalu mencoba sesuatu yang baru dan mengombinasikannya dengan TTP yang benar dan teruji. Itulah yang kami senangi dari para pelaku ancaman ini, sementara kami menganalisis dan memahami persona mereka, kami dapat memprediksi langkah mereka selanjutnya. Dan sekarang, dengan AI generatif kami dapat mengerjakannya lebih cepat, serta mengusir penyerang lebih awal.

 

Dengan demikian, mari melangkah maju ke tahun 2024.

 

Untuk mendapatkan berita dan informasi Inteligensi Ancaman yang dapat Anda cerna di lantatur, lihat Podcast Microsoft Threat Intelligence yang dibawakan oleh Sherrod DeGrippo.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]

    Satu tahun peperangan hibrid Rusia di Ukraina. Halaman 14

  6. [6]

    Iran beralih ke operasi pengaruh cyber untuk memperoleh dampak yang lebih besar. Halaman 11.

  7. [7]
  8. [8]

    Iran beralih ke operasi pengaruh cyber untuk memperoleh dampak yang lebih besar. Halaman 11.

  9. [9]

    Ancaman digital dari Asia Timur mengalami peningkatan dari segi jangkauan dan efektivitas. Halaman 6

  10. [10]

    Satu tahun di Intel: Sorotan dari Sikap Global Microsoft Melawan Ancaman Persisten Tingkat Lanjut (APT)

  11. [11]

    Iran beralih ke operasi pengaruh cyber untuk memperoleh dampak yang lebih besar. Halaman 12.

  12. [12]

    Satu tahun di Intel: Sorotan dari Sikap Global Microsoft Melawan Ancaman Persisten Tingkat Lanjut (APT)

Operasi Pengaruh Cyber Negara bangsa Pelaku ancaman

Artikel terkait

Pelaku ancaman Rusia menyiapkan pertahanan, bersiaga untuk memanfaatkan kelelahan akibat perang

Operasi pengaruh dan operasi cyber Rusia tetap dilancarkan saat perang di Ukraina terus berlanjut. Microsoft Threat Intelligence merinci aktivitas pengaruh dan ancaman cyber terbaru selama enam bulan terakhir.
Pelajari selengkapnya

Volt Typhoon menarget infrastruktur vital AS dengan teknik living-off-the-land (LotL)

Microsoft Threat Intelligence mengungkap peningkatan operasi pengaruh cyber dari Iran. Dapatkan wawasan ancaman dengan detail mengenai teknik baru dan letak keberadaan potensi ancaman di masa depan.
Pelajari selengkapnya

Ransomware sebagai layanan: Wajah baru kejahatan cyber di dunia industri

Microsoft threat Intelligence mengkaji satu tahun operasi pengaruh dan cyber di Ukraina, mengungkap tren baru di dalam ancaman cyber, dan hal-hal yang diperkirakan akan terjadi saat perang memasuki tahun kedua.
Pelajari selengkapnya

Ikuti Microsoft Security