Mengenal Apa Itu Cyber Espionage

1.       Pencurian Data

Pencurian data atau data theft merupakan tindakan ilegal dengan mencuri data dari sistem komputer untuk kepentingan pribadi atau dikomersilkan dengan menjual data curian kepada pihak lain. Contoh kasus data theft adalah pembobolan jutaan data akun tokopedia beberapa waktu lalu.

2.       Akses illegal

Lewat akses ilegal atau unauthorized access, seseorang yang tidak bertanggung jawab bisa memasuki atau menyusup ke dalam suatu skema jaringan komputer tanpa izin atau tanpa sepengetahuan dari pemilik. Oleh karena hal ini, biasanya korban akan kehilangan data penting. Tak jarang juga aksi ini merupakan langkah yang diambil oknum tertentu untuk melakukan aksi penipuan dengan memakai nama pemilik akun.

3.       Hacking dan Cracking

Hacking dan Cracking adalah aktivitas menerobos atau mencari celah keamanan suatu sistem komputer. Orang yang melakukan hacking disebut hacker, sedangkan pelaku cracking disebut cracker. Dalam definisi aslinya, seorang hacker adalah orang yang menyusup kedalam suatu sistem untuk mencari kelemahan system kemudian memberitahukan pemilik sistem tentang celah keamanannya. Biasanya perusahaan menawarkan imbalan untuk hal seperti ini. Berbeda dengan cracking dimana ketika berhasil masuk kedalam suatu sistem, maka mereka akan merusak sistem atau menggunakannya untuk kepentingan tertentu.

4.       Carding

Carding adalah kejahatan yang berhubungan dengan kartu kredit atau atm. Dengan manipulasi tertentu pelaku akan mendapatkan data kartu korban. Setelah itu data akan diduplikat dan kartu akan dikloning untuk digunakan secara ilegal.

5.       Defacing

Defacing biasanya dilakukan dengan tujuan iseng atau pamer kemampuan. Cara kerjanya adalah dengan menerobos suatu sistem kemudian mengubah tampilan sistem tersebut. Kasus defacing sempat dialami oleh situs telkomsel beberapa tahun lalu.

6.       Cybersquatting

Cybersquatting ialah tindakan penyalah gunaan nama domain website. Umumnya pelaku menyerobot nama perusahaan atau public figur.

7.       Cyber Typo squatting

Cyber typo squatting adalah kejahatan siber dengan membuat domain yang persis seperti domain perusahaan/orang lain. Tujuannya adalah untuk menipu orang lain atau biasanya menyebarkan berita bohong.

8.       Menyebarkan Konten Ilegal

Pembajakan software, film atau apapun di internet selain melanggar Hak kekayaan intelektual, sebetulnya bisa bisa juga dimasukan ke kategori kejahatan siber. Bagaimanapun apa yang dibagikan di internet harus lewat persetujuan developer atau para pembuatnya.

9.       Malware

Malicious Software atau Malware adalah program yang dirancang untuk menyusup ke sistem komputer dan menginfeksi data-data didalamnya. Umumnya malware disusupkan kedalam sebuah software yang kemudian disebarkan di jaringan internet.

Cyberthreat.id – Pengembang prosesor kecerdasan buatan (AI) asal Israel belum lama ini diserang oleh kelompok ransomware Pay2Key. Ransomware ini seringkali menargetkan perusahaan Israel. Check point perusahaan keamanan siber asal Israel, di situs webnya mengatakan, banyak mendapatkan berbagai informasi terkait Pay2Key justru dari Tim Insiden Respon Israel. Berdasarkan forensik dan informasi itu, Check Point mengatakan bahwa secara eksklusif ransomware itu memang dipakai untuk menyerang perusahaan-perusahaan Israel.

Dari uraian waktu, ransomware pertama kali dibuat pada 6 Juni 2020 dan mulai dikenal secara luas empat bulan kemudian, yakni Oktober 2020. Sampel pertama terdeteksi pada 26 Oktober dan sehari kemudian sampel itu muncul di alam liar.

Ransomware ini menargetkan Remote Desktop Protocol (RDP) yang biasa dipakai perusahaan untu menghubungkan perangkat-perangkat dari jarak jauh. Mesin di jaringan yang ditargetkan itu didefinisikan sebagai titik “proxy” dalam jaringan yang kemungkinan menggunakan program bernama ConnectPC.exe".

Operator Pay2Key berkomunikasi dengan jaringan dan server perintah dan kontrol (C&C) milik penyerang melalui “proxy” tersebut. Ini menunjukkan Pay2Key tidak sama seperti banyak jenis ransomware lain yang biasanya tidak melalui koneksi ke server C&C. Dikutip dari SecurityBoulevard, diakses Senin (21 Desember 2020), pendekatan melalui C&C dibandingkan melalui alamat IP dari mesin yang terinfeksi tersebut memiliki keuntungan dan kerugian.

Keuntungannya, beberapa mesin berkomunikasi dengan mesin yang terinfeksi karena komunikasi internal akan diizinkan. Namun, alamat server C&C akan sulit dilacak oleh peneliti.

Komunikasi server C&C milik peretas dikunci memakai enkripsi RSA dan mengirim kunci publik ke server melalui Transmission Control Protocol (TCP). Kunci ini digunakan untuk mengatur komunikasi antara server dan mesin yang terinfeksi sehingga pesan dapat diterima dan ransomware dapat mengaktifkannya. Sementara itu, setelah peretas menguasai sistem, peretas pun menggunakan psexec.exe untuk mengeksekusi "Cobalt.Client.exe" yaitu ransomware Pay2Key itu sendiri. Pay2Key diyakini bernama Cobalt (tetapi berbeda dengan Cobalt Strike) berdasarkan sampel yang ada. Dinamakan Pay2Key lantaran nama ekstensi file yang dienkripsinya itu adalah  pay2key. Meski kode ini bisa saja diubah oleh penyerang di kemudian hari.

Identitas penyerang pun tidak diketahui, tetapi dari pengamatan peneliti terhadap file log-nya, peretas bukanlah penutur asli bahasa Inggris.

Karena ransomware ini usianya masih relatif muda, rantai infeksi yang tepat belum dipetakan sepenuhnya. Hanya, penyelidikan sejauh ini, menurut Check Point, penyerang mungkin telah memperoleh akses ke jaringan organisasi beberapa waktu sebelum serangan. Peretas Pay2Key juga memiliki kemampuan bergerak cepat dalam menyebarkan ransomware dalam waktu satu jam ke seluruh jaringan.

A.      Enkripsi

Peretas mengadopsi algoritma AES dan RSA untuk enkripsi mesin korban. Namun, beberapa standar lain juga diterapkannya untuk memperlihatkan adanya kekhususan. Kekhasan dalam proses enkripsi yang dimaksud itu ialah penggunaan algoritma RC4 untuk beberapa proses enkripsi. RC4 memang lebih mudah diterapkan, tetapi penyandian lebih mudah disalahgunakan yang dapat menyebabkan proses

enkripsi gagal. Terlepas dari itu, setelah berhasil mengenkripsi, para korban yang terdampak menerima catatan tebusan yang relatif rendah yaitu antara 7 hingga 9 Bitcoin (antara US$ 110.000 hingga US$ 140.000) atau setara Rp 1,56 hingga Rp 1,98 miliar. Catatan tebusan disesuaikan dengan perusahaan yang ditargetkan dalam bentuk [ORGANIZATION]_MESSAGE.TXT.

Dalam catatan tebusannya yang diperlihatkan Check Point, peretas meminta korban membayar tepat waktu jika tidak maka tebusan yang diminta akan menjadi dobel atau berlipat ganda. Ketika Pay2Key dianalisis awal-awal kemunculannya, peretas belum memperlihatkan taktik pemerasan ganda seperti yang dilakukan beberapa ransomware lain, yaitu mencuri data dan kemudian merilisnya jika korban tidak membayar tebusan. Namun, tak lama kemudian Pay2Key mengikuti jejak para operator ransomware lain yakni mempublikasikan data curiannya di situs kebocoran data seperti dialami perusahaan Israel.

B.      Iran dituding di balik serangan

Meski belum diketahui peretas di balik Pay2Key, alamat dompet bitcoin yang dipakai untuk pembayaran terlacak milik pertukaran mata uang kripto Iran. Pertukaran itu didirikan untuk menyediakan layanan pertukaran mata uang kripto yang aman bagi warga Iran. Untuk menggunakan layanan, pengguna harus memiliki nomor kontak dan nomor ID Iran yang valid, dan untuk secara aktif memperdagangkan mata uang kripto, bursa memerlukan salinan ID. Kuat dugaan dari mekanisme pertukaran itu, peretas adalah berasal dari Iran, tetapi bisa saja aktor lain dengan identitas Iran.

Pada September 2020, perusahaan keamanan siber, Clear Sky, mengaitkan Pay2Key dengan grup APT Iran, MuddyWater, yang dikenal karena mengeksloitasi cacat ZeroLogon. Peneliti mencatat bahwa penyerang berusaha menginstal PowGoop,