Serangan baru-baru ini yang diduga dilakukan oleh kelompok China Salt Typhoon kepada perusahaan dan negara telekomunikasi – di antaranya adalah Brasil – membuat seluruh dunia waspada. Berita berbicara tentang tingkat kecanggihan invasi dan, yang lebih mengkhawatirkan – penjahat, secara teoritis, akan tetap berada dalam jaringan perusahaan-perusahaan ini.
Informasi pertama tentang grup ini muncul pada tahun 2021, ketika tim Intelijen Ancaman Microsoft merilis informasi tentang bagaimana China akan berhasil menyusup ke beberapa penyedia layanan Internet, untuk memantau perusahaan – dan menangkap data. Salah satu serangan pertama yang dilakukan oleh kelompok tersebut adalah dari pelanggaran router Cisco, yang berfungsi sebagai pintu gerbang untuk memantau aktivitas internet yang terjadi melalui perangkat ini. Setelah akses diperoleh, peretas dapat memperluas jangkauan mereka ke jaringan tambahan. Pada Oktober 2021, Kaspersky menegaskan bahwa penjahat siber telah memperluas serangan terhadap negara-negara lain seperti Vietnam, Indonesia, Thailand, Malaysia Mesir, Ethiopia dan Afghanistan.
Jika kerentanan pertama sudah diketahui sejak 2021 – mengapa kita masih diserang? Jawabannya tepat pada bagaimana kita menghadapi kerentanan ini dalam kehidupan sehari-hari.
Cara pelanggaran
Sekarang, dalam beberapa hari terakhir, informasi dari pemerintah AS telah mengkonfirmasi serangkaian serangan terhadap “perusahaan dan negara” - yang akan terjadi dari kerentanan yang diketahui dalam aplikasi VPN, dari pabrikan Ivanti, di FortiNet ForticClient EMS, yang digunakan untuk memantau server, firewall SoPhos dan juga di server Microsoft Exchange.
Kerentanan Microsoft diungkapkan pada tahun 2021 ketika, setelah itu, perusahaan menerbitkan perbaikan tersebut. Kegagalan Sophos Firewalls diterbitkan pada 2022 - dan dikoreksi pada September 2023. Masalah yang dihadapi di Forticlient menjadi publik pada tahun 2023, dan dikoreksi pada Maret 2024 – serta masalah Ivanti, yang juga memiliki kerentanan dan eksposur umum CVE yang terdaftar pada tahun 2023. Namun, perusahaan hanya memperbaiki kerentanan Oktober lalu.
Semua kerentanan ini memungkinkan penjahat untuk dengan mudah menyusup ke jaringan yang diserang, menggunakan kredensial dan perangkat lunak yang sah, yang membuat deteksi invasi ini hampir tidak mungkin. Dari sana, penjahat bergerak ke samping dalam jaringan ini, menyebarkan malware, yang membantu dalam pekerjaan spionase jangka panjang.
Apa yang mengkhawatirkan dalam serangan baru-baru ini adalah bahwa metode yang digunakan oleh peretas grup Salt Typhoon konsisten dengan taktik jangka panjang yang diamati dalam kampanye sebelumnya yang dikaitkan dengan agen negara China. Metode ini mencakup penggunaan kredensial yang sah untuk menutupi aktivitas jahat seperti operasi rutin, sehingga sulit untuk diidentifikasi oleh sistem keamanan konvensional. Fokus pada perangkat lunak yang banyak digunakan seperti VPN dan firewall menunjukkan pengetahuan mendalam tentang kerentanan di lingkungan perusahaan dan pemerintah.
Masalah kerentanan
Kerentanan yang dieksploitasi juga mengungkapkan pola yang mengkhawatirkan: penundaan dalam menerapkan tambalan dan pembaruan. Terlepas dari koreksi yang tersedia oleh produsen, realitas operasional banyak perusahaan mempersulit untuk segera menerapkan solusi ini. Tes kompatibilitas, kebutuhan untuk menghindari gangguan dalam sistem misi-kritis dan, dalam beberapa kasus, kurangnya kesadaran akan keparahan kegagalan berkontribusi pada peningkatan jendela paparan.
Masalah ini tidak hanya bersifat teknis, tetapi juga organisasi dan strategis, yang melibatkan proses, prioritas dan, seringkali, budaya perusahaan.
Aspek penting adalah bahwa banyak perusahaan memperlakukan penerapan patch sebagai tugas “sekunder” dibandingkan dengan kontinuitas operasional. Ini menciptakan apa yang disebut dilema downtime, di mana para pemimpin perlu memutuskan antara gangguan layanan sesaat untuk memperbarui sistem dan potensi risiko eksploitasi di masa depan. Namun, serangan baru-baru ini menunjukkan bahwa menunda pembaruan ini bisa jauh lebih mahal, baik dari segi keuangan maupun reputasi.
Selain itu, tes kompatibilitas adalah hambatan umum. Banyak lingkungan perusahaan, terutama di sektor-sektor seperti telekomunikasi, beroperasi dengan kombinasi kompleks antara teknologi warisan dan modern. Hal ini membuat setiap pembaruan memerlukan upaya yang cukup besar untuk memastikan bahwa tambalan tidak menimbulkan masalah pada sistem yang bergantung. Jenis perawatan ini dapat dimengerti, tetapi dapat dikurangi dengan mengadopsi praktik seperti lingkungan pengujian yang lebih kuat dan proses validasi otomatis.
Poin lain yang berkontribusi pada keterlambatan penerapan patch adalah kurangnya kesadaran akan keparahan kegagalan. Seringkali, tim TI meremehkan pentingnya CVE tertentu, terutama ketika belum dieksplorasi secara luas sejauh ini. Masalahnya adalah bahwa jendela peluang bagi penyerang dapat terbuka sebelum organisasi menyadari beratnya masalah. Ini adalah bidang di mana intelijen ancaman dan komunikasi yang jelas antara penyedia teknologi dan perusahaan dapat membuat semua perbedaan.
Akhirnya, perusahaan perlu mengambil pendekatan yang lebih proaktif dan diprioritaskan untuk manajemen kerentanan, yang mencakup otomatisasi proses patching, segmentasi jaringan, membatasi dampak kemungkinan invasi, rutinitas yang secara teratur mensimulasikan kemungkinan serangan, yang membantu menemukan potensi “titik lemah”.
Masalah penambalan dan pembaruan penundaan bukan hanya tantangan teknis, tetapi juga peluang bagi organisasi untuk mengubah pendekatan keamanan mereka, membuatnya lebih gesit, mudah beradaptasi, dan tangguh. Di atas segalanya, mode operasi ini bukanlah hal baru, dan ratusan serangan lainnya dilakukan dengan cara yang sama modus operandi, dari kerentanan yang digunakan sebagai gateway. Mengambil keuntungan dari pelajaran ini bisa menjadi perbedaan antara menjadi korban atau bersiap untuk serangan berikutnya.
