terinfeksi Remote Access Malware Latar Belakang • Kasus insiden keamanan informasi dilaporkan telah terjadi pada sebuah situs pemerintah yang dikelola oleh penyedia jasa pihak ketiga. Penyebaran malware melalui situs pemerintah tersebut diakibatkan dari pelaksanaan praktik-praktik keamanan informasi yang masih rendah di instansi pemerintah tersebut maupun penyedia jasa pihak ketiga.
• Pada insiden ini, penyerang atau attacker menggunakan Remote
Access Trojan (RAT) yang tersedia di pasaran untuk mendapatkan informasi tentang jaringan serta mampu mengendalikan jaringan internal komputer yang ada pada instansi pemerintah tersebut. Karena infeksi malware telah menyebar luas, diperlukan upaya untuk memitigasi insiden keamanan tersebut secara efektif dan optimal. Bagaimana Serangan Siber terjadi? • Langkah pertama yang dilakukan penyerang atau attacker adalah melakukan ‘Survey Attack’ terhadap situs pemerintah yang dikelola oleh penyedia jasa pihak ketiga. Dari hasil survei ditemukan celah atau kerentanan (vulnerabilities) pada sistem elektronik yang digunakan. Pada tahapan ini penyerang mengunggah script website yang terinfeksi malware ke situs pemerintah yang dihosting atau dikelola oleh penyedia jasa pihak ketiga. Sehingga orang yang mengakses situs pemerintah tersebut akan terinfeksi Malware.
• Pada tahapan selanjutnya, penyerang melakukan ‘Delivery Attack’
dimana hampir 500 komputer telah terinfeksi dengan Remote Access Malware. Tahapan ini digunakan penyerang untuk masuk ke sistem dimana celah atau kerentanan dapat diexploitasi. Bagaimana Serangan Siber terjadi?
• Tahap selanjutnya adalah ‘Breach Attack’ dimana penyerang
atau attacker memulai operasinya dengan mengexploitasi celah/kerentanan yang ada untuk mendapatkan akses ke dalam sistem atau jaringan serta Malware yang ada pada sistem, dapat mengirimkan informasi tentang sistem atau jaringan kepada domain yang dimiliki oleh penyerang atau attacker.
• Tahapan akhir yang dilakukan oleh penyerang adalah ‘Affect
Attack’ dimana penyerang dapat merusak sistem atau melakukan aktifitas dalam sistem tersebut untuk mencapai tujuan dari penyerangan misalnya mendapatkan informasi- informasi sensitif yang dimiliki instansi pemerintah tersebut. Informasi Kemampuan Penyerang • Pada insiden keamanan informasi ini, penyerang mengunakan kombinasi alat pemindai otomatis (automated scanning tools) dan perangkat serta teknologi yang dibuat khusus untuk menyerang/menembus jaringan di instansi pemerintah.
• Penyerang juga memanfaatkan celah atau kerentanan yang ada
pada perangkat lunak yang terdapat pada sistem elektronik yang digunakan serta memanfaatkan hubungan kepercayaan (trust relationship) antara instansi pemerintah dan penyedia jasa pihak ketiga. Upaya Mitigasi
• Anda diminta memodelkan proses terjadinya serangan,
termasuk urutan kejadian, dan pihak yang berperan • Anda diminta untuk memberikan rekomendasi terkait upaya mitigasi insiden keamanan informasi yang terjadi di instansi pemerintah yang websitenya terinfeksi Malware. • Rekomendasi jangka pendek (pada saat kejadian), dan jangka Panjang, apa peran yang harus di lakukan oleh aktor dalam insiden tersebut