A. Lanskap Keamanan Siber Indonesia
PreviousBAB I. Latar BelakangNextB. Tren Kerentanan Sistem Elektronik Instansi Pemerintah di Indonesia
Last updated
Last updated
Badan Siber dan Sandi Negara telah menerbitkan Lanskap Keamanan Siber Indonesia 2023 pada tanggal 4 Maret 2024. Lanskap ini merupakan kajian strategis yang disusun berdasarkan hasil pemantauan trafik keamanan siber selama 24 jam sehari, 7 hari seminggu, sepanjang tahun 2023 oleh Direktorat Operasi Keamanan Siber BSSN. Lanskap Keamanan Siber memberikan gambaran mengenai kondisi dunia siber di Indonesia selama tahun 2023 dan menjadi acuan untuk menyusun strategi keamanan siber tahun 2024. Berdasarkan hasil pemantauan tersebut, tercatat ada total 403.990.813 anomali, 4.001.905 aktivitas Advanced Persistent Threat (APT), dan 1.011.209 aktivitas ransomware (Direktorat Operasi Keamanan Siber, 2023). Beberapa hasil yang dilaporkan yaitu:
Anomali trafik tertinggi terjadi pada bulan Agustus sejumlah 78.464.385 dan terendah pada bulan November sejumlah 19.296.439 sebagaimana tercantum pada Gambar 1. Berdasarkan sumber anomali trafik tersebut, terdapat 5 negara yang merupakan sumber anomali trafik terbesar yaitu Indonesia, Amerika Serikat, Singapura, Jerman dan Belanda. Sedangkan lima negara tujuan anomali terbesar adalah Indonesia, Amerika Serikat, Jerman, Belanda dan Prancis sebagaimana dicantumkan dalam Gambar 2.
Pantauan anomali trafik disebabkan oleh beberapa aktivitas serangan siber dengan frekuensi tertinggi. Lima aktivitas serangan siber dengan frekuensi tertinggi disajikan pada Gambar 3 yaitu Generic Trojan RAT, PhishingSite Other Malware, Microsoft Windows SMB Server Information Disclosure, MiningPool Mining Virus, serta Discover the Communication Behavior of VPN Tool OpenVPN.
Aktivitas Generic Trojan RAT bersumber dari terdeteksinya signature yang timbul akibat adanya aktivitas backdoor communication menuju domain malicious yang terindikasi sebagai command and control server milik threat actor. Munculnya aktivitas ini dapat berakibat pada indikasi pencurian informasi, penghapusan data, pemblokiran, penyalinan informasi, serta menjalankan program pada perangkat yang terinfeksi di luar kehendak pengguna (Direktorat Operasi Keamanan Siber, 2023).
Aktivitas selanjutnya yang masif adalah Phishing Site Other Malware. Phishing Site merupakan situs palsu untuk menipu pengguna supaya memberikan informasi pribadi seperti, password, nomor kependudukan, dan rincian keuangan maupun data pribadi lainnya. Sedangkan malware merupakan kode jahat yang memiliki tujuan untuk merusak atau menganggu kinerja suatu perangkat maupun sistem. Jadi, phishing site Other Malware merupakan malware yang memanfaatkan situs phishing untuk menginfeksi korbannya.
Peringkat ketiga penyumbang aktivitas anomali terbanyak adalah microsoft windows smb server information disclosure yang terdeteksi karena adanya protokol SMBv1 yang sudah usang sehingga dapat dimanfaatkan penyerang untuk memperoleh informasi sensitif. SMB merupakan protokol yang digunakan untuk berbagi file, mencetak file dan komunikasi antar perangkat dalam suatu jaringan (Direktorat Operasi Keamanan Siber, 2023). Selain itu, kerentanan ini juga dapat dimanfaatkan penyerang untuk menginjeksi malware seperti WannaCry, Trickbot, CoinMiner, dan WannaMine ke dalam sistem.
Posisi keempat aktivitas anomali terbanyak adalah miningpool mining virus atau yang lebih dikenal dengan crypto mining malware. Seperti namanya, aktivitas ini merupakan malware yang menggunakan sumber daya komputer korban untuk melakukan penambangan mata uang kripto. Perangkat korban bisa mengalami penurunan kinerja bahkan bisa rusak akibat dari aktivitas malware ini.
Aktivitas terbanyak kelima dari keseluruhan anomali yaitu discover the communication behavior of vpn tool openvpn. Aktivitas ini terdeteksi akibat adanya penggunaan VPN dengan aplikasi OpenVPN. Protokol VPN digunakan untuk membuat koneksi internet dengan menggunakan point to point (PTP) yang telah dienkripsi dengan username dan password (Direktorat Operasi Keamanan Siber, 2023). Aplikasi OpenVPN sebenarnya legal, namun saat ini banyak penyerang yang memanfaatkannya untuk melakukan spionase pada perangkat pengguna dengan menyisipkan malware di dalamnya.
Berdasarkan hasil pengamatan Direktorat Operasi Keamanan Siber BSSN, aktivitas APT di Indonesia terdeteksi sebanyak 4.001.905 sepanjang tahun 2023 (Direktorat Operasi Keamanan Siber, 2023). APT merupakan istilah untuk menggambarkan sebuah organisasi atau sekelompok orang untuk melakukan serangan siber kepada sistem tertentu dengan tujuan untuk mengambil keuntungan seperti spionase, pencurian uang, pencurian data dan sebagainya. APT melakukan serangan dengan menggunakan teknik yang canggih sehingga dapat bertahan lama tanpa terdeteksi oleh perangkat keamanan pada sistem korban. Gambar 4 menyajikan informasi terkait lima APT yang paling banyak ditemukan di ruang siber Indonesia.
Ransomware adalah jenis malware yang mengenkripsi data atau perangkat korban, kemudian meminta bayaran sebagai syarat untuk memperoleh kunci dekripsi. Serangan ini dapat mengakibatkan berbagai kerugian, seperti kehilangan data penting, kehilangan akses ke aset digital yang terinfeksi, dan kerugian finansial yang signifikan, terutama bagi organisasi dan perusahaan yang terganggu operasionalnya. Selain itu, serangan ransomware dapat menimbulkan biaya tambahan, seperti biaya pemulihan sistem dan peningkatan keamanan untuk mencegah serangan serupa di masa depan.
Ransomware tidak hanya menyerang perusahaan besar atau organisasi, tetapi juga individu dan bisnis kecil. Hal ini menunjukkan bahwa serangan ransomware bersifat acak dan dapat menargetkan siapa saja yang memiliki celah keamanan. Lima jenis ransomware yang paling aktif pada tahun 2023 yaitu Luna Moth, WannaCry, Locky, LockBit, dan Grandcrab. Jenis-jenis ransomware ini dikenal karena penyebaran yang luas dan dampak destruktif pada berbagai sektor. Jumlah serangan dan detail lain terkait ransomware ini disajikan pada Gambar 5 (Direktorat Operasi Keamanan Siber, 2023).
Web defacement merupakan jenis serangan yang memanfaatkan kerentanan pada aplikasi web dengan mengubah tampilan, bahkan dalam beberapa kasus menghapus konten dari situs web yang berhasil dieksploitasi. Serangan ini biasanya bertujuan untuk merusak reputasi atau menyebarkan pesan tertentu melalui situs web yang telah disusupi. Terdapat total 189 kasus yang telah diberikan notifikasi kepada pemilik sistem (Direktorat Operasi Keamanan Siber, 2023). Sektor yang paling tinggi mengalami web defacement adalah sektor Administrasi Pemerintahan dengan 167 kasus, kemudian kasus lain terdapat pada sektor kesehatan sebanyak 7 kasus, sektor pertahanan 3 kasus dan 12 kasus pada sektor lainnya.
Data breach atau kebocoran data merupakan serangan siber dengan cara mengambil data sensitif dari aset pengguna lalu diekspos atau diperjual belikan. Penyerang dapat memperoleh data sensitif dari aset dengan memanfaatkan kerentanan pada sistem kemudian melakukan eksploitasi. Selama tahun 2023, BSSN mendeteksi adanya 103 dugaan insiden kebocoran data (Direktorat Operasi Keamanan Siber, 2023). Kasus terbanyak terjadi pada bulan Maret sebanyak 20 kasus, sedangkan kasus paling sedikit ada pada bulan April sebanyak 1 kasus. Rincian kasus setiap bulan dapat dilihat pada Gambar 6.
CVE adalah daftar kerentanan yang diakui secara global dan digunakan untuk berbagi informasi terkait kerentanan aset. Setiap entri CVE mencakup nomor identifikasi, deskripsi kerentanan, serta dampak yang ditimbulkan. Selama tahun 2023, BSSN telah menerbitkan 66 imbauan keamanan. Sistem untuk mengukur dan mengategorikan tingkat keparahan kerentanan menggunakan Common Vulnerability Scoring System (CVSS). Dari seluruh imbauan tersebut, terdapat 5 CVE yang memiliki potensi dampak terbesar di Indonesia sepanjang tahun 2023 (Direktorat Operasi Keamanan Siber, 2023). Kelima CVE tersebut yaitu CVE-2022-22721, CVE-2022-26377, CVE-2023-0662, CVE-2023-30799, dan CVE-2022-3602 dengan penjelasan sebagai berikut:
CVE-2022-22721 terjadi ketika LimitXMLRequestBody pada Apache HTTP Server sistem 32bit versi 2.4.52 atau sebelumnya mengizinkan permintaan (request body) lebih besar dari 350MB. Sedangkan kemampuan sebenarnya hanya mampu menampung permintaan sebesar 1 MB, sehingga kesalahan pengaturan tersebut dapat mengakibatkan terjadinya buffer overflow[1].
Dampak dari buffer overflow dapat mengganggu aspek ketersediaan layanan pada sistem bahkan bisa menjadi celah penyerang untuk melakukan serangan lanjutan seperti arbitrary code execution[2]. Hasil nilai CVSS dari CVE-2022-22721 adalah 9,1 dengan kategori dampak critical (Direktorat Operasi Keamanan Siber, 2023).
CVE-2022-26377 memiliki nilai CVSS sebesar 7,5 dengan tingkat dampak high (Direktorat Operasi Keamanan Siber, 2023). Kerentanan CVE-2022-26377 terjadi ketika terdapat kerentanan inkonsisten interpretasi dari permintaan HTTP (HTTP request smuggling) dalam mod_proxy_ajp dari Apache HTTP Server yang mengizinkan penyerang untuk melakukan penyelundupan permintaan ke Apache JServ Protocol (AJP) server[3]. HTTP request smuggling merupakan sebuah teknik yang digunakan penyerang dengan menyisipkan dua request atau lebih dalam satu kali pengiriman HTTP untuk mengelabuhi server[4]. Dengan memanfaatkan CVE-2022-26377 threat actor dapat menyisipkan permintaan yang akan merugikan sistem, baik menghapus, merubah maupun memodifikasi data. Perangkat yang rentan yaitu Apache HTTP Server versi 2.4.53 dan sebelumnya.
CVE-2023-0662 terjadi karena konfigurasi default PHP pada proses parsing multipart request body yang mengizinkan akses ke CPU time dalam jumlah besar tanpa autentikasi sehingga dapat menimbulkan serangan denial of service[5]. Serangan denial of service dilakukan dengan cara mengirimkan request dalam jumlah besar ke sistem sehingga menimbulkan excessive logging (pencatatan yang berlebihan) yang dapat mengganggu ketersediaan sistem korban. CVE-2023-0662 memiliki nilai CVSS 7,5 dengan tingkat dampak high, dan sistem yang terdampak adalah PHP 8.0 (sebelum versi 8.0.28), PHP 8.1 (sebelum versi 8.1.16), PHP 8.2 (sebelum versi 8.2.3) (Direktorat Operasi Keamanan Siber, 2023).
CVE-2023-30799 terjadi pada MikroTik RouterOS stable pada versi sebelum 6.49.7 dan long-term 6.48.6 yang memiliki kerentanan privilege escalation karena pengguna bisa meningkatkan kewenangan dari admin menjadi super-admin melalui Winbox atau HTTP[6]. CVE ini memiliki nilai CVSS 7,2 dengan dampak high (Direktorat Operasi Keamanan Siber, 2023).
CVE-2022-3602 merupakan kerentanan yang terjadi pada Open SSL 3.0 ketika proses verifikasi sertifikat, mengharuskan Certificate Authority (CA) menandatangani sertifikat walaupun gagal membuat jalur trusted issuer[7]. CVE ini berpotensi berbahaya karena memungkinkan aplikasi melanjutkan verifikasi pada sertifikat yang tidak dipercaya. CVE-2022-3602 memiliki nilai CVSS 7,5 dengan tingkat dampak high.
[1] https://nvd.nist.gov/vuln/detail/CVE-2022-22721
[2] https://owasp.org/www-community/vulnerabilities/Buffer_Overflow
[3] https://nvd.nist.gov/vuln/detail/CVE-2022-26377
[4] https://kamsib.id/penetration-testing/http-request-smuggling-kerentanan-unik-dari-http-1-1/
[5] https://nvd.nist.gov/vuln/detail/CVE-2023-0662
[6] https://nvd.nist.gov/vuln/detail/CVE-2023-30799
[7] https://nvd.nist.gov/vuln/detail/CVE-2022-3602
