Peringatan Keamanan : Ancaman APT Menargetkan Layanan Telekomunikasi
Badan keamanan siber dari Amerika Serikat, Australia, Kanada, dan Selandia Baru mengungkapkan adanya aktivitas spionase siber berskala besar. Aktivitas ini dilakukan oleh aktor ancaman yang berafiliasi dengan Tiongkok dan berhasil membobol jaringan beberapa penyedia layanan telekomunikasi global. Federal Bureau of Investigation (FBI) menyebut aktor serangan tersebut sebagai Advanced Persistent Threat (APT) yang diketahui menargetkan sistem internal perusahaan serta infrastruktur layanan pelanggan. Beberapa aktivitas serangan ini menunjukkan pola yang sejalan dengan laporan industri sebelumnya mengenai kelompok GhostEmperor dan Salt Typhoon.
Hingga saat laporan diterbitkan, aktivitas yang diamati memanfaatkan kelemahan-kelemahan yang sudah diketahui dalam infrastruktur korban, tanpa ditemukannya teknik eksploitasi baru. Beberapa kerentanan yang dieksploitasi antara lain: CVE-2024-3400, CVE-2024-21887, CVE-2023-20198, CVE-2018-0171, dan CVE-2023-20273.
Oleh karena itu, langkah-langkah seperti memperbarui perangkat lunak, memperbaiki layanan yang rentan, dan memperkuat pengamanan sistem menjadi krusial untuk mengurangi peluang intrusi serta menghentikan aktivitas spionase yang sedang berlangsung.
Tipe Serangan – Eksploitasi Infrastruktur Jaringan
Dalam kasus ini, APT actors mengeksploitasi kelemahan pada perangkat jaringan seperti router, firewall, dan sistem manajemen jaringan. Mereka memanfaatkan kerentanan yang sudah diketahui untuk mendapatkan akses awal, mempertahankan persistensi, menghindari deteksi, serta melakukan pencurian data secara tersembunyi.
Segmen Terancam:
- Industri Telekomunikasi – Penyedia layanan komunikasi global, operator seluler, dan perusahaan penyedia backbone jaringan.
- Infrastruktur Kritis – Organisasi yang mengelola sistem komunikasi penting, termasuk layanan pemerintah, pertahanan, dan perusahaan penyedia layanan internet (ISP).
- Perusahaan Enterprise – Organisasi yang memiliki sistem enterprise lokal yang menggunakan perangkat jaringan yang rentan.
General Tactic, Technique, and Procedures (TTP):
- Initial Exploitation:
Mengeksploitasi perangkat dan layanan jaringan yang rentan untuk memperoleh akses awal tanpa terdeteksi. Tidak ada kerentanan zero-day pada serangan ini. Beberapa CVE yang digunakan adalah:- CVE-2024-3400
- CVE-2024-21887
- CVE-2023-20198
- CVE-2018-0171
- CVE-2023-20273
Target utama adalah penyedia layanan seperti Palo Alto, Ivanti, dan Cisco.
- CVE-2024-3400
- Persistence:
Penyerang mengubah konfigurasi perangkat jaringan (router, firewall) untuk mempertahankan akses dan bergerak lateral. Tindakan mencakup modifikasi ACL, membuka port standar dan non-standar (SSH, SFTP, RDP, FTP, HTTP, HTTPS), eksploitasi SNMP, serta penggunaan tools open source seperti STOWAWAY untuk membuat backdoor. - Lateral Movement & Collection:
Penargetan protokol autentikasi seperti TACACS+ melalui SNMP atau SSH untuk perpindahan antar perangkat jaringan. Penyerang melakukan pengalihan lalu lintas dan pencatatan (packet capture/PCAP) untuk mencuri informasi pelanggan dan konfigurasi perangkat. - Exfiltration:
Penyerang menonaktifkan logging dan memanfaatkan tunneling terenkripsi seperti GRE dan IPSec, serta jalur komunikasi tersembunyi untuk mengirim data keluar dari perangkat yang terdampak.
Langkah Mitigasi:
- Memperkuat visibilitas jaringan dengan monitoring lalu lintas, logging terpusat, packet capture, dan korelasi data melalui SIEM.
- Menonaktifkan layanan tidak digunakan (Telnet, HTTP, CDP, LLDP).
- Membuat IKE sesuai kebijakan CNSSP:
- Diffie-Hellman Group 16 (4096 bit MODP)
- Diffie-Hellman Group 20 (384 bit ECP)
- AES-256 untuk enkripsi
- SHA-384 untuk hashing
- Diffie-Hellman Group 16 (4096 bit MODP)
- Menghapus IKE default pada VPN dan komponennya.
- Tingkatkan SNMP ke SNMPv3, konfigurasikan Trusted Managers.
- Terapkan MFA pada seluruh akun administratif, audit akun secara berkala.
- Pastikan firmware perangkat jaringan terbaru dan sandi kuat.
- Terapkan autentikasi routing bila memungkinkan.