"Golden Ticket" Spionase Industri, APT Canggih Targetkan Infrastuktur TI

JAKARTA - Kaspersky ICS CERT telah mendeteksi gelombang serangan yang ditargetkan pada perusahaan kompleks industri militer dan lembaga publik di beberapa negara Eropa Timur dan di Afghanistan. Para pelaku kejahatan siber mampu mengambil kendali atas seluruh infrastruktur TI korban untuk tujuan spionase industri.

Kaspersky Industrial Control Systems Cyber ​​Emergency Response Team (Kaspersky ICS CERT) adalah proyek global yang diluncurkan oleh Kaspersky pada tahun 2016 untuk mengoordinasikan upaya vendor sistem otomasi, pemilik dan operator fasilitas industri, dan peneliti keamanan TI untuk melindungi perusahaan industri dari serangan siber.

Pada Januari 2022, peneliti Kaspersky menyaksikan beberapa serangan lanjutan terhadap perusahaan militer dan organisasi publik. Tujuan utama serangan tersebut adalah untuk mengakses informasi pribadi perusahaan dan untuk mendapatkan kendali atas sistem TI. Malware yang digunakan oleh penyerang mirip dengan yang disebarkan oleh TA428 APT, grup APT berbahasa Mandarin.

Penyerang menyusup ke jaringan perusahaan dengan mengirimkan email phishing yang dibuat secara hati-hati, beberapa di antaranya berisi informasi khusus organisasi mereka yang belum tersedia untuk umum pada saat email dikirim. Ini menunjukkan bahwa penyerang sengaja mempersiapkan serangan dan memilih target mereka terlebih dahulu. 

Email phishing menyertakan dokumen Microsoft Word dengan kode berbahaya untuk mengeksploitasi kerentanan yang memungkinkan penyerang mengeksekusi kode arbitrer tanpa aktivitas tambahan apa pun. Kerentanan ada di versi lama dari Microsoft Equation Editor, sebuah komponen dari Microsoft Office.

Selain itu, penyerang menggunakan enam pintu belakang (backdoor) yang berbeda secara bersamaan untuk mengatur saluran komunikasi tambahan dengan sistem yang terinfeksi jika salah satu program berbahaya terdeteksi dan dihapus oleh solusi keamanan. Backdoor ini menyediakan fungsionalitas sangat luas untuk mengontrol sistem yang terinfeksi dan mengumpulkan data rahasia.

Tahap akhir serangan melibatkan pembajakan pengontrol domain dan mendapatkan kendali penuh atas semua workstation dan server organisasi dan dalam salah satu kasus, mereka bahkan mengambil alih pusat kendali solusi keamanan siber. 

Setelah mendapatkan hak administrator domain dan akses ke Active Directory, penyerang menjalankan serangan "golden ticket (tiket emas)" untuk meniru akun pengguna organisasi secara sewenang-wenang dan mencari dokumen ataupun file lain berisikan data sensitif organisasi yang diserang. Kemudian data tersebut disusupkan ke server penyerang yang diselenggarakan di berbagai negara.

Vyacheslav Kopeytsev, pakar keamanan di ICS CERT Kaspersky mengatakan bahwa serangan Golden Ticket memanfaatkan protokol otentikasi default yang telah digunakan sejak ketersediaan Windows 2000. Dengan memalsukan Tiket Pemberian Tiket (Ticket Granting Tickets) Kerberos di dalam jaringan perusahaan, penyerang dapat secara mandiri mengakses layanan apa pun yang dimiliki jaringan untuk waktu yang tidak terbatas. 

“Akibatnya, hanya mengubah kata sandi atau memblokir akun yang disusupi tidak akan cukup. Saran kami adalah memeriksa dengan cermat semua Vyacheslav Kopeytsev, pakar keamanan di ICS CERT Kaspersky Aktivitas yang mencurigakan dan mengandalkan solusi keamanan yang dapat dipercaya,” sambungnya.