Kelompok Peretas Rusia Manfaatkan Perangkat IoT untuk Akses Jaringan Korporat
Jakarta – Kelompok peretas Rusia yang sebelumnya dikenal karena mencuri email sensitif selama pemilihan presiden AS 2016, kini dilaporkan telah berhasil menyusup ke jaringan korporat dengan mengeksploitasi kerentanan pada printer, telepon, dan dekoder video. Laporan ini disampaikan oleh Microsoft Security Response Center (MSRC) Team pada hari Senin.
Kelompok yang dikenal dengan beberapa nama, termasuk “Strontium,” “Fancy Bear,” dan “APT 28,” berhasil mendapatkan akses ke perangkat-perangkat tersebut dengan menggunakan kata sandi bawaan pabrikan atau dengan memanfaatkan celah keamanan yang belum ditambal.
Setelah berhasil menguasai sebuah perangkat, para penyusup kemudian mengakses jaringan korporat di sekitarnya, mencari perangkat lain yang rentan, dan bergerak melintasi jaringan untuk mengkompromikan akun-akun dengan hak akses tinggi yang menyimpan data bernilai. Untuk mempertahankan aksesnya, para peretas menanamkan skrip sederhana yang memungkinkan mereka untuk terus memantau dan beroperasi di dalam jaringan.
Tujuan akhir dari serangan ini belum dapat ditentukan secara pasti pada tahap awal investigasi. Namun, laporan MSRC Team mengindikasikan bahwa para peretas tidak ragu memanfaatkan isu konfigurasi dan keamanan yang sederhana untuk mencapai tujuan mereka. Dengan semakin banyaknya perangkat Internet of Things (IoT) yang digunakan di lingkungan korporat, eksploitasi celah keamanan yang sederhana ini diprediksi akan terus meningkat.
IoT Bukan Sekadar Mainan
Para pakar keamanan siber menekankan bahwa perangkat IoT yang memiliki kata sandi bawaan atau mudah ditebak sangat rentan terhadap serangan. Dean Weber, CTO Mocana, sebuah perusahaan keamanan IoT, menyatakan bahwa meskipun serangan semacam ini mungkin tidak signifikan pada jaringan rumah tangga, dampaknya bisa sangat besar jika perangkat tersebut memiliki akses ke sistem kontrol industri (ICS-SCADA). “Orang menganggap perangkat ini sebagai mainan, namun jika perangkat tersebut memungkinkan penyerang untuk masuk ke jaringan dan menimbulkan kekacauan, maka mainan itu bisa memberikan akses yang sangat luas,” ujarnya.
Tingkat keseriusan serangan ini sangat bergantung pada kesiapan organisasi. Spencer Lichtenstein, senior director of technology di Onyx, sebuah firma penasihat keamanan siber, menjelaskan bahwa perusahaan yang memiliki inventaris aset yang mutakhir akan lebih mudah mengamankan perangkat IoT mereka. “Memahami apa yang Anda miliki sebagai perusahaan adalah kunci untuk mengamankan suatu item,” katanya. “Ancaman ini menjadi lebih serius jika Anda kurang memahami jejak digital IoT Anda dan kurang memiliki kendali atas jaringan perusahaan Anda.”
Magnet Bagi Peretas
Kerentanan pada produk IoT yang mengundang eksploitasi peretas tampaknya menjadi masalah yang berkembang. Laporan kerentanan IoT dilaporkan meningkat 384 persen pada tahun 2018 dibandingkan tahun sebelumnya, menurut David Baker, CSO di Bugcrowd. “Dengan banyaknya jenis perangkat yang terhubung ke jaringan, terdapat potensi permukaan serangan yang sangat luas,” ujarnya. “Kombinasikan permukaan serangan yang luas ini dengan kesalahan konfigurasi umum pengguna, dan penjahat siber sering kali dapat dengan mudah mengeksploitasi perangkat IoT.”
Craig Williams, director for outreach di Cisco Talos, menambahkan bahwa perangkat IoT sering kali tidak terlihat di jaringan dan tidak dipelihara, menjadikannya target yang menarik. “Jika penyerang dapat menguasai perangkat IoT yang tidak dipelihara, perangkat tersebut secara efektif dapat berfungsi sebagai pintu yang dapat digunakan penyerang untuk mengakses jaringan dalam jangka waktu yang lama,” katanya.
Steve Durbin, managing director di Information Security Forum, menjelaskan bahwa banyak pengembang perangkat IoT tidak terlalu memikirkan keamanan karena biaya produksi. “Perangkat ini dibuat untuk menyediakan dan memproses informasi dengan biaya serendah mungkin,” tuturnya.
Perhatian pada Keamanan
Meskipun beberapa produsen perangkat telah berupaya meningkatkan keamanan dengan fitur seperti pembaruan otomatis, sebagian besar perangkat masih dirancang dengan biaya seminimal mungkin. “Sayangnya, jika Anda membeli perangkat di mana harga adalah pertimbangan utama, kemungkinan besar tidak ada tim insinyur perangkat lunak di baliknya untuk merancang pembaruan firmware di masa depan guna melindungi dari masalah keamanan,” kata Williams.
Phil Neray, vice president of industrial cybersecurity di CyberX, mengamati bahwa pembuat perangkat IoT sering mengambil jalan pintas dalam desain mereka. “Mereka sering kali hanya mengambil beberapa pustaka sumber terbuka dan memasukkannya ke dalam produk mereka,” ujarnya. “Mereka tidak memeriksa apakah pustaka tersebut memiliki kerentanan atau dapat dieksploitasi, dan tentu saja mereka tidak menjaganya tetap diperbarui seiring dengan dirilisnya perbaikan untuk pustaka tersebut.”
Lichtenstein dari Onyx mencatat bahwa meskipun pembuat perangkat semakin sadar akan kebutuhan akan kontrol keamanan yang lebih baik, kemajuan nyata sulit diukur. “Banyak perangkat IoT tingkat perusahaan seperti termostat gedung dan sistem ICS menunjukkan kemajuan dan menarik investasi, tetapi relatif sedikit ‘benda pintar’ seperti bola lampu atau kulkas yang menunjukkan kemajuan signifikan.”
Di sisi pemerintahan, terlihat beberapa kemajuan. National Institute of Standards and Technology (NIST) baru-baru ini menerbitkan “garis dasar inti” untuk perangkat IoT, yang mencakup enam fitur keamanan yang harus dicari pembeli: identifikasi perangkat, konfigurasi perangkat, perlindungan data, akses logis ke antarmuka, pembaruan perangkat lunak dan firmware, serta pencatatan peristiwa keamanan siber.
Namun, kurangnya kemajuan keamanan masih membuat frustrasi para praktisi, menurut Chris Morales, head of security analytics di Vectra. “Peneliti merinci eksploitasi webcam sebagai pintu belakang ke jaringan yang terhubung dengannya dalam laporan Vectra yang dirilis pada tahun 2016,” katanya. “Namun, kita masih mendengar masalah yang sama persis. Tidak ada yang berubah dan sedikit yang membaik dalam keamanan IoT.”
Dampak Keamanan Siber IoT di Indonesia: Ancaman yang Perlu Diwaspadai
Berita mengenai eksploitasi perangkat IoT oleh kelompok peretas Rusia ini memiliki relevansi yang signifikan bagi Indonesia. Seiring dengan pesatnya adopsi teknologi digital dan penetrasi perangkat pintar di berbagai sektor, mulai dari rumah tangga hingga industri, potensi kerentanan yang sama juga mengintai. Indonesia perlu secara serius memperhatikan aspek keamanan siber pada perangkat IoT. Kurangnya kesadaran akan konfigurasi keamanan yang tepat, penggunaan kata sandi bawaan yang lemah, dan minimnya pembaruan perangkat lunak pada perangkat IoT yang beredar di pasar dapat menjadi celah empuk bagi para pelaku kejahatan siber.
Penting bagi pemerintah, pelaku industri, dan masyarakat untuk meningkatkan literasi digital dan kesadaran akan risiko keamanan siber yang terkait dengan perangkat IoT. Kebijakan yang mendukung pengembangan standar keamanan IoT yang kuat, serta edukasi publik mengenai praktik keamanan yang aman, mutlak diperlukan untuk meminimalkan potensi dampak negatif dari ancaman siber yang terus berkembang ini.
