Beberapa laporan tentang bagaimana manusia dapat mengelabui ChatGPT untuk menulis malware sempat mencuat ke permuakaan. Namun, kemungkinan penerapan Kecerdasan Buatan (AI) dalam serangan siber lebih dari sekadar membuat skrip perangkat lunak berbahaya. Terkait dengan itu, Kaspersky, sebagai perusahaan keamanan siber global, mengungkap bahwa jaringan mesin pintar ini dapat dimanfaatkan oleh penjahat siber dalam setiap tahap serangan canggih.
Noushin Shabab, Peneliti Keamanan Senior untuk Tim Peneliti dan Analisis Global Asia Pasifik (Global Research and Analysis Team/ GReAT), mengungkapkan bagaimana AI dapat membantu bahkan untuk Advanced Persistent Threat (APT), yaitu jenis serangan online yang bertarget dan canggih.
“Di luar pengembangan malware, AI dapat digunakan dalam berbagai tahap serangan siber yang canggih. Saat ini, aktor APT menggabungkan teknik canggih untuk menghindari deteksi dan metode diam-diam untuk mengukuhkan pertahanan mereka. Perkembangan AI baru dapat membantu penjahat siber dari tahap pengintaian hingga eksfiltrasi data,” Shabab memperingatkan.
Seperti namanya “advanced/berkelanjutan”, APT menggunakan teknik peretasan yang terus menerus, canggih dan bersifat rahasia, untuk mendapatkan akses menuju sistem dan tetap berada di dalamnya untuk jangka waktu yang lama, dengan potensi kerusakan.
Salah satu karakteristik utama serangan APT adalah mendapatkan akses berkelanjutan ke sistem. Peretas mencapai hal ini dalam serangkaian tahap serangan termasuk pengintaian (mengumpulkan informasi tentang target, sistemnya, dan potensi kerentanan), pengembangan sumber daya, eksekusi, dan penyelundupan data.
Pengintaian
Shabab mengatakan bahwa saat ini, setidaknya ada 14 grup APT aktif yang beroperasi di Asia Pasifik.
Salah satunya adalah Origami Elephant, yang diketahui memperoleh domain dan virtual private server selama tahap pengembangan sumber dayanya. Aktor ancaman ini (alias tim DoNot, APT-C-35, SECTOR02) telah menargetkan kawasan Asia Selatan dengan minat khusus pada entitas pemerintah dan militer terutama di negara Pakistan, Bangladesh, Nepal, dan Sri Lanka sejak awal tahun 2020.
APT cyber espionage dan cyber sabotage yang terkenal, Lazarus, menggunakan platform media sosial dan aplikasi perpesanan seperti LinkedIn, WhatsApp, dan Telegram untuk mencapai targetnya. Aktor ancaman ini juga dikenal karena menyusupi layanan web seperti situs web WordPress yang rentan untuk mengunggah skrip berbahayanya.
“Selama fase pengintaian, AI dapat membantu aktor ancaman menemukan dan memahami target potensial dengan mengotomatiskan analisis data dari berbagai sumber seperti basis data online dan platform media sosial dan mengumpulkan informasi mengenai personel, sistem, dan aplikasi target yang digunakan di lingkungan perusahaan. Mesin pintar bahkan dapat menemukan titik rentan melalui penilaian detail karyawan perusahaan, hubungan pihak ketiga, dan arsitektur jaringan,” jelasnya.
Seperti diketahui secara luas, AI dapat berperan dalam pengembangan malware, namun Shabab menyampaikan bahwa AI juga dapat membantu dalam mengotomatisasi tugas-tugas yang berkaitan dengan pembangunan infrastruktur serangan termasuk pembelian infrastruktur jaringan, pembuatan akun, hingga penyusupan infrastruktur jaringan dan akun.
Akses awal
Shabab juga mengungkapkan bahwa spear phishing masih menjadi teknik akses awal pilihan para aktor APT di Asia Pasifik. Di antara 14 kelompok penjahat siber yang aktif di wilayah tersebut, 10 diantaranya menggunakan taktik ini untuk membobol jaringan target mereka.
Spear phishing adalah penipuan email atau komunikasi elektronik yang ditargetkan pada individu, organisasi, atau bisnis tertentu. Meskipun seringkali dimaksudkan untuk mencuri data dan tujuan berbahaya lainnya, penjahat siber mungkin juga memiliki motif seperti pemasangan malware di komputer pengguna yang ditargetkan.
Pada tahap akses awal ini, AI dapat membantu penjahat siber membuat pesan phishing yang sangat meyakinkan dan personal. Mesin pintar ini juga dapat dilatih untuk menemukan titik masuk terbaik ke jaringan target dan mengetahui waktu paling tepat untuk melancarkan serangan.
“AI dapat menganalisis pola dalam aktivitas jaringan dan sistem serta meluncurkan serangan selama periode kewaspadaan keamanan rendah atau gangguan tinggi. Dengan demikian, mesin dapat membantu penjahat siber menemukan waktu terbaik untuk meluncurkan serangan phishing dan mendapatkan akses awal, ke dalam jaringan korban,” jelas Shabab.
Teknologi ini juga dapat meningkatkan serangan brute-force tradisional dengan secara cerdas memilih kemungkinan kata sandi berdasarkan pola, kamus, dan insiden sebelumnya. Dengan menganalisis pola dalam perilaku pengguna, aktivitas media sosial, dan informasi pribadi, algoritma AI dapat membuat tebakan cerdas tentang kata sandi, sehingga meningkatkan peluang akses yang berhasil.
Eksekusi
Selama tahap eksekusi, AI memiliki kemampuan untuk mengadaptasi perilaku malware sebagai respons terhadap langkah-langkah keamanan, sehingga meningkatkan peluang keberhasilan serangan. Kekeliruan berbasis AI juga dapat membuat malware polimorfik yang mengubah struktur kodenya untuk menghindari deteksi.
Penerjemah perintah dan skrip yang dipilih AI juga dapat menganalisis ekosistem target, memahami karakteristik sistem, dan memilih opsi yang paling sesuai untuk menjalankan skrip atau perintah berbahaya. Taktik rekayasa sosial berbasis AI juga dapat meningkatkan kemungkinan pengguna berinteraksi dengan file berbahaya, sehingga meningkatkan keberhasilan fase eksekusi.
Ketahanan
Kelompok APT dikenal dengan teknik canggihnya untuk tetap berada di dalam jaringan tanpa tertangkap. Shabab menyampaikan bahwa teknik yang paling umum dilakukan oleh para aktor APT di Asia Pasifik untuk mencapai ketahanan adalah:
- Tugas/Pekerjaan Terjadwal: Tugas Terjadwal
- Eksekusi Autostart Boot atau Logon: Kunci Jalankan Registri / Folder Startup
Untuk tahap ini, AI dapat membuat skrip yang paling sesuai untuk mengeksekusi malware berdasarkan analisis perilaku pengguna. Aktor ancaman juga dapat mengembangkan malware bertenaga AI yang dapat secara dinamis mengadaptasi mekanisme ketahanannya berdasarkan perubahan di lingkungan target.
Mekanisme pemantauan berbasis AI juga dapat melacak perubahan sistem dan menyesuaikan taktik persistensi yang sesuai. Ditambah lagi, teknik yang dipandu AI juga dapat memanipulasi entri Registri Windows untuk memperbaiki kunci registri persistensi dan menghindari deteksi.
Eksfiltrasi Data dan Dampak yang muncul
Shabab juga menjelaskan bagaimana AI dapat membantu menyaring data yang dicuri dengan cara lebih tersembunyi dan efisien.
“AI dapat menganalisis pola lalu lintas jaringan untuk berbaur lebih baik dengan perilaku jaringan biasa dan menentukan saluran komunikasi paling cocok untuk mengekstraksi data untuk setiap korban. Ia bahkan dapat mengoptimalkan kekeliruan, kompresi, dan enkripsi data yang dicuri untuk menghindari deteksi lalu lintas yang tidak normal,” tambahnya.
Dia juga memperingatkan bahwa AI dapat membantu memaksimalkan dampak serangan dengan meningkatkan efektivitas dan efisiensi tindakan penyerang.
Untuk meningkatkan pertahanan perusahaan dan organisasi terhadap serangan APT yang ditopang oleh kemampuan AI, Shabab menyarankan hal berikut:
- Solusi keamanan lanjutan: Menerapkan solusi keamanan yang menggunakan metode canggih untuk memantau perilaku pengguna dan sistem. Ini dapat membantu mengidentifikasi penyimpangan dari pola normal, yang berpotensi menandakan aktivitas berbahaya.
- Pembaruan Perangkat Lunak Reguler: Selalu perbarui semua perangkat lunak, aplikasi, dan sistem operasi untuk mengurangi kerentanan yang mungkin dieksploitasi oleh penyerang.
- Pelatihan dan Kesadaran Pengguna: Memberikan pelatihan kepada karyawan tentang praktik terbaik keamanan siber, termasuk mengenali dan menghindari serangan rekayasa sosial dan upaya phishing.
- Otentikasi Multi-Faktor (MFA): Menerapkan MFA untuk mengakses sistem dan aplikasi penting, mengurangi risiko akses tidak sah bahkan jika kredensial telah disusupi.
