# A. Lanskap Keamanan Siber Indonesia

Badan Siber dan Sandi Negara telah menerbitkan Lanskap Keamanan Siber Indonesia 2023 pada tanggal 4 Maret 2024. Lanskap ini merupakan kajian strategis yang disusun berdasarkan hasil pemantauan trafik keamanan siber selama 24 jam sehari, 7 hari seminggu, sepanjang tahun 2023 oleh Direktorat Operasi Keamanan Siber BSSN. Lanskap Keamanan Siber memberikan gambaran mengenai kondisi dunia siber di Indonesia selama tahun 2023 dan menjadi acuan untuk menyusun strategi keamanan siber tahun 2024. Berdasarkan hasil pemantauan tersebut, tercatat ada total 403.990.813 anomali, 4.001.905 aktivitas *Advanced Persistent Threat* (APT), dan 1.011.209 aktivitas *ransomware* (Direktorat Operasi Keamanan Siber, 2023). Beberapa hasil yang dilaporkan yaitu:

## 1. Anomali Trafik

Anomali trafik tertinggi terjadi pada bulan Agustus sejumlah 78.464.385 dan terendah pada bulan November sejumlah 19.296.439 sebagaimana tercantum pada Gambar 1. Berdasarkan sumber anomali trafik tersebut, terdapat 5 negara yang merupakan sumber anomali trafik terbesar yaitu Indonesia, Amerika Serikat, Singapura, Jerman dan Belanda. Sedangkan lima negara tujuan anomali terbesar adalah Indonesia, Amerika Serikat, Jerman, Belanda dan Prancis sebagaimana dicantumkan dalam Gambar 2.

<figure><img src="https://832601284-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FWPupMRaiHDUhEINs5uoE%2Fuploads%2F629flkfJijjoHi8wsVhW%2Fimage.png?alt=media&#x26;token=37a3b8b5-bf35-4eb2-bcf3-841b7e64b90f" alt=""><figcaption><p>Gambar 1. Grafik Anomali Trafik</p></figcaption></figure>

<figure><img src="https://832601284-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FWPupMRaiHDUhEINs5uoE%2Fuploads%2FBjb4XF2gckZ2laNAh7kr%2Fimage.png?alt=media&#x26;token=f8998b89-4607-408e-acc8-1d4443abeec7" alt=""><figcaption><p>Gambar 2. Negara terbesar sumber dan tujuan anomali</p></figcaption></figure>

<figure><img src="https://832601284-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FWPupMRaiHDUhEINs5uoE%2Fuploads%2FQUHlmpIUnmcqMdbxyGon%2Fimage.png?alt=media&#x26;token=059e405c-916e-4b39-8c68-ab882527b935" alt=""><figcaption><p>Gambar 3. Top 5 Anomali Trafik</p></figcaption></figure>

Pantauan anomali trafik disebabkan oleh beberapa aktivitas serangan siber dengan frekuensi tertinggi. Lima aktivitas serangan siber dengan frekuensi tertinggi disajikan pada Gambar 3 yaitu *Generic Trojan* RAT, *PhishingSite Other Malware*, *Microsoft Windows SMB Server Information Disclosure*, *MiningPool Mining Virus*, serta *Discover the Communication Behavior of VPN Tool OpenVPN*.

Aktivitas Generic Trojan RAT bersumber dari terdeteksinya *signature* yang timbul akibat adanya aktivitas *backdoor communication* menuju domain *malicious* yang terindikasi sebagai *command and control* server milik *threat actor*. Munculnya aktivitas ini dapat berakibat pada indikasi pencurian informasi, penghapusan data, pemblokiran, penyalinan informasi, serta menjalankan program pada perangkat yang terinfeksi di luar kehendak pengguna (Direktorat Operasi Keamanan Siber, 2023).

Aktivitas selanjutnya yang masif adalah *Phishing Site Other Malware*. *Phishing Site* merupakan situs palsu untuk menipu pengguna supaya memberikan informasi pribadi sepert&#x69;*, password,* nomor kependudukan, dan rincian keuangan maupun data pribadi lainnya. Sedangkan *malware* merupakan kode jahat yang memiliki tujuan untuk merusak atau menganggu kinerja suatu perangkat maupun sistem. Jadi, *phishing site Other Malware* merupakan *malware* yang memanfaatkan situs *phishing* untuk menginfeksi korbannya.

Peringkat ketiga penyumbang aktivitas anomali terbanyak adalah *microsoft windows smb server information disclosure* yang terdeteksi karena adanya protokol SMBv1 yang sudah usang sehingga dapat dimanfaatkan penyerang untuk memperoleh informasi sensitif. SMB merupakan protokol yang digunakan untuk berbagi *file*, mencetak *file* dan komunikasi antar perangkat dalam suatu jaringan (Direktorat Operasi Keamanan Siber, 2023). Selain itu, kerentanan ini juga dapat dimanfaatkan penyerang untuk menginjeksi *malware* seperti *WannaCry, Trickbot, CoinMiner*, dan *WannaMine* ke dalam sistem.

Posisi keempat aktivitas anomali terbanyak adalah *miningpool mining virus* atau yang lebih dikenal dengan *crypto mining malware*. Seperti namanya, aktivitas ini merupakan *malware* yang menggunakan sumber daya komputer korban untuk melakukan penambangan mata uang kripto. Perangkat korban bisa mengalami penurunan kinerja bahkan bisa rusak akibat dari aktivitas *malware* ini.

Aktivitas terbanyak kelima dari keseluruhan anomali yaitu *discover the communication behavior of vpn tool openvpn*. Aktivitas ini terdeteksi akibat adanya penggunaan VPN dengan aplikasi OpenVPN. Protokol VPN digunakan untuk membuat koneksi internet dengan menggunakan *point to point* (PTP) yang telah dienkripsi dengan *username* dan *password* (Direktorat Operasi Keamanan Siber, 2023)*.* Aplikasi OpenVPN sebenarnya legal, namun saat ini banyak penyerang yang memanfaatkannya untuk melakukan spionase pada perangkat pengguna dengan menyisipkan *malware* di dalamnya.

## &#x20;**2. Advanced Persistent Threat (APT)**

Berdasarkan hasil pengamatan Direktorat Operasi Keamanan Siber BSSN, aktivitas APT di Indonesia terdeteksi sebanyak 4.001.905 sepanjang tahun 2023 (Direktorat Operasi Keamanan Siber, 2023). APT merupakan istilah untuk menggambarkan sebuah organisasi atau sekelompok orang untuk melakukan serangan siber kepada sistem tertentu dengan tujuan untuk mengambil keuntungan seperti spionase, pencurian uang, pencurian data dan sebagainya. APT melakukan serangan dengan menggunakan teknik yang canggih sehingga dapat bertahan lama tanpa terdeteksi oleh perangkat keamanan pada sistem korban. Gambar 4 menyajikan informasi terkait lima APT yang paling banyak ditemukan di ruang siber Indonesia.

<figure><img src="https://832601284-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FWPupMRaiHDUhEINs5uoE%2Fuploads%2F68NYYzjErqblicC6bRtU%2Fimage.png?alt=media&#x26;token=26c3d9af-4c01-42bf-b67a-e430744eb4f9" alt=""><figcaption><p>Gambar 4. Top 5 APT</p></figcaption></figure>

## 3. Ransomware

*Ransomware* adalah jenis *malware* yang mengenkripsi data atau perangkat korban, kemudian meminta bayaran sebagai syarat untuk memperoleh kunci dekripsi. Serangan ini dapat mengakibatkan berbagai kerugian, seperti kehilangan data penting, kehilangan akses ke aset digital yang terinfeksi, dan kerugian finansial yang signifikan, terutama bagi organisasi dan perusahaan yang terganggu operasionalnya. Selain itu, serangan *ransomware* dapat menimbulkan biaya tambahan, seperti biaya pemulihan sistem dan peningkatan keamanan untuk mencegah serangan serupa di masa depan.

*Ransomware* tidak hanya menyerang perusahaan besar atau organisasi, tetapi juga individu dan bisnis kecil. Hal ini menunjukkan bahwa serangan *ransomware* bersifat acak dan dapat menargetkan siapa saja yang memiliki celah keamanan. Lima jenis *ransomware* yang paling aktif pada tahun 2023 yaitu *Luna Moth, WannaCry, Locky, LockBit*, dan *Grandcrab*. Jenis-jenis *ransomware* ini dikenal karena penyebaran yang luas dan dampak destruktif pada berbagai sektor. Jumlah serangan dan detail lain terkait *ransomware* ini disajikan pada Gambar 5 (Direktorat Operasi Keamanan Siber, 2023).

<figure><img src="https://832601284-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FWPupMRaiHDUhEINs5uoE%2Fuploads%2FZbTWCrOBfyyU1PjiLd5M%2Fimage.png?alt=media&#x26;token=073dc422-4940-4b77-9ba2-2e36c07707aa" alt=""><figcaption><p>Gambar 5. Top 5 Ransomware</p></figcaption></figure>

## 4. Web Defacement

*Web defacement* merupakan jenis serangan yang memanfaatkan kerentanan pada aplikasi *web* dengan mengubah tampilan, bahkan dalam beberapa kasus menghapus konten dari situs *web* yang berhasil dieksploitasi. Serangan ini biasanya bertujuan untuk merusak reputasi atau menyebarkan pesan tertentu melalui situs *web* yang telah disusupi. Terdapat total 189 kasus yang telah diberikan notifikasi kepada pemilik sistem (Direktorat Operasi Keamanan Siber, 2023). Sektor yang paling tinggi mengalami *web defacement* adalah sektor Administrasi Pemerintahan dengan 167 kasus, kemudian kasus lain terdapat pada sektor kesehatan sebanyak 7 kasus, sektor pertahanan 3 kasus dan 12 kasus pada sektor lainnya.

## &#x20;5. Data breach

*Data breach* atau kebocoran data merupakan serangan siber dengan cara mengambil data sensitif dari aset pengguna lalu diekspos atau diperjual belikan. Penyerang dapat memperoleh data sensitif dari aset dengan memanfaatkan kerentanan pada sistem kemudian melakukan eksploitasi. Selama tahun 2023, BSSN mendeteksi adanya 103 dugaan insiden kebocoran data (Direktorat Operasi Keamanan Siber, 2023). Kasus terbanyak terjadi pada bulan Maret sebanyak 20 kasus, sedangkan kasus paling sedikit ada pada bulan April sebanyak 1 kasus. Rincian kasus setiap bulan dapat dilihat pada Gambar 6.

<figure><img src="https://832601284-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FWPupMRaiHDUhEINs5uoE%2Fuploads%2FYDQwbJiYPmhzknSDqI5c%2Fimage.png?alt=media&#x26;token=03c05040-9c5e-4e3f-ac8d-f8a78a3179a4" alt=""><figcaption><p>Gambar 6. Kasus Kebocoran Data per bulan pada 2023</p></figcaption></figure>

## 6. Common Vulnerabilities and Exposures (CVE)

CVE adalah daftar kerentanan yang diakui secara global dan digunakan untuk berbagi informasi terkait kerentanan aset. Setiap entri CVE mencakup nomor identifikasi, deskripsi kerentanan, serta dampak yang ditimbulkan. Selama tahun 2023, BSSN telah menerbitkan 66 imbauan keamanan. Sistem untuk mengukur dan mengategorikan tingkat keparahan kerentanan menggunakan *Common Vulnerability Scoring System* (CVSS). Dari seluruh imbauan tersebut, terdapat 5 CVE yang memiliki potensi dampak terbesar di Indonesia sepanjang tahun 2023 (Direktorat Operasi Keamanan Siber, 2023). Kelima CVE tersebut yaitu CVE-2022-22721, CVE-2022-26377, CVE-2023-0662, CVE-2023-30799, dan CVE-2022-3602 dengan penjelasan sebagai berikut:

### a) CVE-2022-22721 (*Apache* HTTP *Server buffer overflow)*

CVE-2022-22721 terjadi ketika *LimitXMLRequestBody* pada *Apache* HTTP *Server* sistem 32bit versi 2.4.52 atau sebelumnya mengizinkan permintaan *(request body)* lebih besar dari 350MB. Sedangkan kemampuan sebenarnya hanya mampu menampung permintaan sebesar 1 MB, sehingga kesalahan pengaturan tersebut dapat mengakibatkan terjadinya *buffer overflow\[1]*.

Dampak dari *buffer overflow* dapat mengganggu aspek ketersediaan layanan pada sistem bahkan bisa menjadi celah penyerang untuk melakukan serangan lanjutan seperti *arbitrary code execution\[2]*. Hasil nilai CVSS dari CVE-2022-22721 adalah 9,1 dengan kategori dampak *critical* (Direktorat Operasi Keamanan Siber, 2023).

### b) CVE-2022-26377 (HTTP *request smuggling)*

CVE-2022-26377 memiliki nilai CVSS sebesar 7,5 dengan tingkat dampak *high* (Direktorat Operasi Keamanan Siber, 2023). Kerentanan CVE-2022-26377 terjadi ketika terdapat kerentanan inkonsisten interpretasi dari permintaan HTTP (HTTP *request smuggling*) dalam *mod\_proxy\_ajp* dari Apache HTTP *Server* yang mengizinkan penyerang untuk melakukan penyelundupan permintaan ke Apache JServ Protocol (AJP) *server*\[3]. HTTP *request smuggling* merupakan sebuah teknik yang digunakan penyerang dengan menyisipkan dua *request* atau lebih dalam satu kali pengiriman HTTP untuk mengelabuhi server\[4]. Dengan memanfaatkan CVE-2022-26377 *threat actor* dapat menyisipkan permintaan yang akan merugikan sistem, baik menghapus, merubah maupun memodifikasi data. Perangkat yang rentan yaitu Apache HTTP *Server* versi 2.4.53 dan sebelumnya.

### c) CVE-2023-0662 (*denial of servise on* PHP)

CVE-2023-0662 terjadi karena konfigurasi *default* PHP pada proses *parsing multipart request* *body* yang mengizinkan akses ke CPU *time* dalam jumlah besar tanpa autentikasi sehingga dapat menimbulkan serangan *denial of service\[5]*. Serangan *denial of service* dilakukan dengan cara mengirimkan *request* dalam jumlah besar ke sistem sehingga menimbulkan *excessive logging* (pencatatan yang berlebihan) yang dapat mengganggu ketersediaan sistem korban. CVE-2023-0662 memiliki nilai CVSS 7,5 dengan tingkat dampak *high*, dan sistem yang terdampak adalah PHP 8.0 (sebelum versi 8.0.28), PHP 8.1 (sebelum versi 8.1.16), PHP 8.2 (sebelum versi 8.2.3) (Direktorat Operasi Keamanan Siber, 2023).

### d) CVE-2023-30799 (Privilege escalation on MikroTik RouterOS)

CVE-2023-30799 terjadi pada MikroTik RouterOS *stable* pada versi sebelum 6.49.7 dan *long-term* 6.48.6 yang memiliki kerentanan *privilege escalation* karena pengguna bisa meningkatkan kewenangan dari admin menjadi super-admin melalui Winbox atau HTTP\[6]. CVE ini memiliki nilai CVSS 7,2 dengan dampak *high* (Direktorat Operasi Keamanan Siber, 2023).

### e) CVE-2022-3602

CVE-2022-3602 merupakan kerentanan yang terjadi pada Open SSL 3.0 ketika proses verifikasi sertifikat, mengharuskan *Certificate Authority* (CA) menandatangani sertifikat walaupun gagal membuat jalur *trusted issuer*\[7]. CVE ini berpotensi berbahaya karena memungkinkan aplikasi melanjutkan verifikasi pada sertifikat yang tidak dipercaya. CVE-2022-3602 memiliki nilai CVSS 7,5 dengan tingkat dampak *high*.

***

\[1] <https://nvd.nist.gov/vuln/detail/CVE-2022-22721>

\[2] <https://owasp.org/www-community/vulnerabilities/Buffer\\_Overflow>

\[3] <https://nvd.nist.gov/vuln/detail/CVE-2022-26377>

\[4] <https://kamsib.id/penetration-testing/http-request-smuggling-kerentanan-unik-dari-http-1-1/>

\[5] <https://nvd.nist.gov/vuln/detail/CVE-2023-0662>               &#x20;

\[6] <https://nvd.nist.gov/vuln/detail/CVE-2023-30799>

\[7] <https://nvd.nist.gov/vuln/detail/CVE-2022-3602>