Di garis depan: Mengurai taktik dan teknik pelaku ancaman Tiongkok

Dengan COVID, kami melihat banyak perubahan. Bagi pelanggan, dunia telah berubah. Dalam sekejap, semua orang pulang dan mencoba untuk tetap melakukan pekerjaan mereka. Kami melihat, bahwa banyak perusahaan harus sepenuhnya mengonfigurasi ulang jaringan mereka, kami juga melihat karyawan yang mengubah cara mereka bekerja, dan tentu saja, kami melihat pelaku ancaman merespons semua itu.

Misalnya, ketika kebijakan untuk bekerja dari rumah pertama kali diluncurkan, banyak organisasi harus mengaktifkan akses dari beragam lokasi ke sejumlah sistem dan sumber daya yang amat sensitif, yang biasanya tidak tersedia di luar kantor korporat. Kami melihat pelaku ancaman yang kemudian mencoba berbaur di antara kebisingan, berpura-pura menjadi pekerja jarak jauh, dan mengakses sumber daya ini.

Saat COVID pertama kali terjadi, kebijakan akses untuk lingkungan perusahaan harus ditetapkan dengan cepat. Dan terkadang, kebijakan diselenggarakan tanpa adanya waktu untuk meriset dan meninjau praktik terbaik. Karena begitu banyak organisasi belum menimbang kembali kebijakan tersebut semenjak peluncuran awal, kami melihat bahwa pelaku ancaman saat ini mencoba menemukan, serta mengeksploitasi kerentanan dan konfigurasi yang salah.

Menempatkan program jahat di desktop sudah tidak ada artinya. Targetnya sekarang adalah kata sandi dan token yang dapat mengakses sistem sensitif dengan cara serupa seperti yang dilakukan oleh pekerja jarak jauh.

Saya tidak tahu apakah pelaku ancaman harus bekerja dari rumah. Namun, kami memang memiliki data yang memberikan wawasan tentang bagaimana penutupan akibat COVID memengaruhi aktivitas mereka, di kota tempat mereka tinggal. Di mana pun mereka bekerja, kehidupan mereka terdampak—sama halnya dengan semua orang.

Terkadang, kami dapat melihat efek terhentinya seluruh kota akibat tidak adanya aktivitas pada komputer mereka. Merupakan hal yang sangat menarik, untuk melihat dampak penghentian seluruh distrik di dalam data kami.

Saya punya satu contoh bagus—salah satu pelaku ancaman yang kami lacak, Nylon Typhoon. Microsoft menindak kelompok ini pada bulan Desember 2021, serta mendisrupsi infrastruktur yang digunakan untuk menarget Eropa, Amerika Latin, dan Amerika Tengah.

Menurut penilaian kami, beberapa aktivitas korban kemungkinan melibatkan operasi pengumpulan kecerdasan dalam rangka memberikan wawasan tentang mitra yang terlibat di dalam Inisiatif Sabuk dan Jalan Tiongkok (BRI), untuk proyek infrastruktur yang dijalankan oleh pemerintah Tiongkok di seluruh dunia. Kami tahu, bahwa pelaku ancaman yang disponsori negara Tiongkok menyelenggarakan spionase tradisional dan ekonomi, dan menurut penilaian kami, aktivitas ini kemungkinan mencakup keduanya.

Kami tidak 100% yakin karena kami tidak punya bukti untuk menyimpulkan. Setelah 15 tahun, saya bisa katakan, bahwa menemukan bukti kesimpulan sangatlah sulit. Namun, yang bisa kami lakukan adalah menganalisis informasi, memasukkan konteks, dan berkata, “Seyakin ini kami menilai, bahwa kami rasa, sangat mungkin jika ini alasannya.”

Salah satu tren terbesar melibatkan peralihan fokus dari titik akhir pengguna dan program jahat kustom ke pelaku yang benar-benar berada di tepi—mengonsentrasikan sumber daya untuk eksploitasi perangkat edge dan mempertahankan persistensi. Perangkat ini menarik, karena jika seseorang memperoleh akses, mereka dapat berdiam di sana di dalam waktu yang sangat lama.

Beberapa kelompok telah menelaah perangkat ini secara mendalam dan menakjubkan. Pelaku tahu cara firmware mereka bekerja. Pelaku tahu kerentanan yang dimiliki oleh setiap perangkat, dan mereka tahu bahwa banyak perangkat tidak mendukung antivirus atau pengelogan granular.

Tentu saja, pelaku tahu, bahwa sekarang, perangkat seperti VPN tak ubahnya kunci sakti. Ketika organisasi menambahkan keamanan berlapis seperti token, autentikasi multifaktor (MFA), dan kebijakan akses, pelaku pun semakin pintar berkelit dan menyelinap melewati pertahanan.

Saya kira banyak pelaku telah menyadari, bahwa jika mereka mampu mempertahankan persistensi jangka panjang melalui perangkat seperti VPN, mereka tidak perlu menyebarkan program jahat di mana pun. Mereka hanya perlu memperoleh akses untuk dapat masuk seperti semua pengguna.

Mereka pada intinya mengambil “mode-dewa” pada jaringan dengan menyusupi perangkat edge ini.

Kami juga melihat tren terkait pelaku yang menggunakan Shodan, Fofa, atau database berjenis apa pun yang memindai internet, membuat katalog perangkat, dan mengidentifikasi beragam tingkat patch.

Kami juga melihat pelaku melakukan pemindaian mereka sendiri pada petak luas internet—terkadang dari daftar target yang sudah ada sebelumnya—untuk mencari hal yang dapat dieksploitasi. Saat mereka menemukan sesuatu, mereka akan memindai sekali lagi untuk benar-benar mengeksploitasi perangkat dan kembali di kemudian hari untuk mengakses jaringan.

Keduanya. Tergantung pada pelaku. Beberapa aktor bertanggung jawab atas suatu negara. Itulah target mereka, sehingga yang mereka pedulikan hanyalah perangkat di negara tersebut. Namun, pelaku lain menerapkan target fungsional—sehingga mereka akan berfokus pada sektor spesifik seperti finansial, energi, atau manufaktur. Selama beberapa tahun, mereka akan membuat daftar target berisi perusahaan-perusahaan yang menarik perhatian mereka. Pelaku ini juga tahu persis perangkat dan perangkat lunak apa yang dijalankan oleh target mereka. Jadi, kami memantau sejumlah pelaku memindai daftar target yang telah ditetapkan sebelumnya untuk melihat apakah target telah membuat patch untuk kerentanan tertentu.

Pelaku bisa saja akurat, memiliki metode dan target tajam, namun terkadang, mereka juga hanya beruntung. Kita harus ingat, bahwa mereka manusia. Ketika mereka memindai atau mengambil data dengan produk komersial, terkadang mereka hanya beruntung sejak awal dan mendapatkan rangkaian informasi tepat untuk membantu memulai operasi.

Benar sekali. Tetapi pertahanan yang tepat lebih dari sekadar membuat patch. Solusi paling efektif terdengar sederhana, namun sangat sulit dipraktikkan. Organisasi harus memahami dan menginventarisasi perangkat yang terpapar internet. Organisasi harus mengenali tampilan perimeter jaringan mereka, dan kami tahu bahwa ini sulit dilakukan, khususnya di lingkungan hibrid dengan perangkat cloud dan lokal.

Manajemen perangkat bukanlah mudah, dan saya tidak mau berpura-pura bahwa itu mudah. Tetapi, mengetahui perangkat di jaringan Anda—dan tingkat patch untuk setiap perangkat—adalah langkah pertama yang dapat Anda lakukan.

Setelah mengetahui apa yang Anda miliki, Anda dapat meningkatkan kemampuan mengelog dan telemetri dari perangkat tersebut. Upayakan untuk meraih granularitas dalam log. Perangkat ini sulit untuk dipertahankan. Cara terbaik bagi pertahanan jaringan untuk mempertahankan perangkat ini adalah dengan mengelog dan mencari anomali

Andai saya bisa memberikan ramalan tentang apa saja rencana pemerintah Tiongkok. Sayangnya, saya tidak bisa. Tetapi sepertinya, kita bisa menangkap adanya keinginan untuk mengakses informasi.

Setiap bangsa memiliki keinginan itu.

Kami juga menyukai informasi kami. Kami menyukai data kami.

Judy adalah ahli Inisiatif Sabuk dan Jalan (Belt and Road Initiative/BRI) dan ahli geopolitik kami. Kami mengandalkan wawasan yang ia miliki saat kami mengamati tren, terutama dalam penargetan. Terkadang, kami akan melihat target baru muncul dan itu tidak masuk akal. Target itu tidak sesuai dengan apa yang mereka lakukan sebelumnya, maka kami lantas membicarakannya dengan Judy, yang akan berkata, “Oh, ada pertemuan ekonomi penting sedang berlangsung di negara ini, atau ada negosiasi seputar konstruksi pabrik baru di lokasi ini.”

Judy memberi kami konteks berharga—konteks krusial—tentang alasan mengapa pelaku ancaman melakukan perbuatan mereka. Kita semua tahu cara menggunakan Bing Translate, dan kita semua tahu cara mencari berita, tetapi jika ada sesuatu yang tidak masuk akal, Judy bisa memberi tahu kami, "Jadi, arti terjemahan itu sebenarnya begini," dan itu bisa membuat perbedaan besar.

Melacak pelaku ancaman Tiongkok memerlukan pengetahuan kultural mengenai struktur pemerintahan mereka, serta bagaimana perusahaan dan institusi mereka beroperasi. Pekerjaan Judy membantu kami dalam menyingkap struktur organisasi ini, serta memberi tahu kami tentang cara kerja mereka—bagaimana mereka menghasilkan uang dan bagaimana mereka berinteraksi dengan pemerintah Tiongkok.

Seperti yang Sarah katakan, ini soal komunikasi. Kami selalu ada di Obrolan Teams. Kami selalu berbagi wawasan yang mungkin pernah kami lihat dari telemetri, yang membantu kami mencapai potensi kesimpulan.

Trik saya? Sering bergaul di internet dan membaca. Saya serius. Menurut saya, salah satu hal terpenting adalah sesederhana mengetahui cara penggunaan mesin pencari yang berbeda-beda.

Saya merasa nyaman memakai Bing, demikian pula dengan Baidu, dan Yandex.

Dan itu karena, mesin pencari yang berbeda menyampaikan hasil berbeda. Saya tidak melakukan sesuatu yang istimewa, namun saya tahu bagaimana caranya mencari hasil berbeda dari sumber berbeda, sehingga saya dapat menganalisis data dari sana.

Semua orang di tim sangat berpengetahuan. Setiap orang mempunyai kekuatan super—yang penting, kita harus tahu kepada siapa kita akan bertanya. Sangat menyenangkan, bukan? Bahwa kita bekerja di dalam sebuah tim dan semua orang merasa nyaman untuk saling bertanya. Kami selalu mengatakan, tidak ada pertanyaan yang konyol.

Tempat ini menjadi kuat karena pertanyaan-pertanyaan konyol.

Sekarang adalah waktu yang tepat untuk mendalami keamanan TI. Ketika saya pertama kali memulai, tidak ada banyak kelas, sumber daya, atau cara yang bisa dieksplorasi. Sekarang, ada program sarjana dan magister! Sekarang, ada banyak cara untuk memasuki profesi ini. Ya, ada jalur yang bisa menghabiskan banyak uang. Namun, ada juga jalur yang lebih murah dan gratis.

Salah satu sumber daya pelatihan keamanan gratis telah dikembangkan oleh Simeon Kakpovi dan Greg Schloemer, kolega kami di Microsoft Threat Intelligence. Alat ini, yang disebut KC7, membuat semua orang dapat mengakses hal-hal tentang memasuki keamanan TI, memahami jaringan dan kejadian host, serta berburu pelaku.

Sekarang, memperoleh paparan terhadap semua jenis topik berbeda juga jadi memungkinkan. Ketika saya pertama kali memulai, Anda harus bekerja di perusahaan beranggaran jutaan dolar untuk mampu membeli alat-alat ini. Bagi sebagian besar orang, ini menjadi hambatan masuk. Tetapi kini, siapa pun dapat menganalisis sampel program jahat. Dahulu, akan sulit untuk menemukan sampel program jahat dan tangkapan paket. Namun sekarang, hambatan tersebut mulai berkurang. Saat ini, ada begitu banyak alat dan sumber daya gratis serta online, yang dapat dipelajari secara mandiri dan secepat yang Anda inginkan.

Saran saya, temukan sektor yang membangkitkan minat Anda. Ingin meriset program jahat? Forensik digital? Inteligensi ancaman? Berfokuslah pada topik favorit Anda, manfaatkan sumber daya publik yang tersedia, dan pelajari sebisa Anda dengan sumber tersebut.

Yang terpenting adalah rasa ingin tahu, bukan? Selain rasa ingin tahu, Anda juga harus menjalin kerja sama yang baik dengan orang lain. Anda harus ingat, bahwa ini olahraga tim—tidak ada yang bisa mengamankan cyber sendirian.

Merupakan hal penting untuk bisa bekerja di dalam tim. Penting untuk memiliki rasa ingin tahu dan mau belajar. Anda harus merasa nyaman untuk mengajukan pertanyaan dan menemukan cara untuk bekerja sama dengan rekan satu tim.

Itu benar sekali. Saya ingin menekankan, bahwa Microsoft Threat Intelligence bekerja sama dengan banyak tim mitra di Microsoft. Kami sangat bergantung pada keahlian rekan-rekan untuk membantu kami memahami perbuatan pelaku dan mengapa mereka melakukannya. Kami tidak dapat melakukan pekerjaan kami tanpa mereka.