Jaringan BIN dan 9 Lembaga Pemerintah Disusupi Peretas Cina, Seberapa Sering Serangan Siber ke Lembaga Pemerintah?

Peneliti keamanan siber Insikt Group—bagian dari Recorded Future—menemukan penyusupan peretas Cina, Mustang Panda, ke jaringan internal Badan Intelijen Negara (BIN) dan sembilan lembaga negara lainnya di Indonesia. Insikt Group pertama kali menemukan penyusupan ini di bulan April 2021, ketika mereka mendeteksi server command and control (C&C) malware PlugX, yang dioperasikan oleh grup Mustang Panda, berkomunikasi dengan host di dalam jaringan pemerintah Indonesia. Kelompok peretas itu memang dikenal menargetkan kawasan Asia Tenggara.

Jika mengacu pada laporan Pusat Operasi Keamanan Siber Nasional (Pusopskamsinas) Badan Sandi dan Siber Negara (BSSN), institusi pemerintah Indonesia memang jadi sasaran favorit serangan siber. BSSN melaporkan di tahun 2019, terdapat jumlah aduan siber pada 2019 sebesar 4.224 kasus. Pemerintah menjadi institusi pelapor mayoritas, yakni 52 persen dari keseluruhan laporan. BSSN tidak mencatat jumlah persis laporan, tetapi dengan persentase sebesar itu, laporan serangan siber dari institusi pemerintahan diperkirakan mencapai 2.197 kasus di tahun itu. 

Sedangkan pada tahun 2020, jumlah aduan siber ke Pusopskamsinas BSSN menurun sekitar 69,39 persen menjadi 1.293 kasus. Pemerintah kembali menjadi pelapor mayoritas sebanyak 660 kasus. Meski ada tren penurunan, tapi tren dua tahun terakhir menunjukkan mayoritas laporan siber selalu berasal dari sektor pemerintah.

Berdasarkan jenis serangan, Pusopskamsinas mencatat bahwa SQL Injection (SQLi) merupakan jenis serangan yang paling sering terjadi pada lembaga pemerintah, sebanyak 256 kasus. SQLi adalah perintah SQL yang disusupkan ke dalam data-plane input untuk mempegaruhi eksekusi SQL command yang telah ditentukan. 

“Ekploitasi SQL injection yang  berhasil dapat melakukan pembacaan data  sensitif dari  database,mengubah data pada database, menjalankan operasi administrasi pada database, dan dalam beberapa kasus mengeluarkan perintah ke sistem operasi,” seperti yang tertulis dalam Laporan Hasil Monitoring Keamanan Siber tahun 2020 Pusopskamsinas.

Jenis serangan terbanyak kedua selanjutnya ialah Cross Site Scripting (XSS). Penyerang memanfaatkan aplikasi situs untuk mengirim malicious code, sebagian besar dalam bentuk browser side script ke end-user berbeda. Kemudian malicious script yang disusupkan dalam situs yang diakses korban dapat mengakses cookie, session token, dan informasi sensitif lain yang disimpan dalam peramban korban.

Jenis serangan yang jamak terjadi selanjutnya adalah malware, perangkat lunak yang dirancang untuk merusak dan menghancurkan komputer dan sistem komputer. Contoh malware adalah virus, worm, troja, spyware, adware, dan ransomware. “Pada umumnya malware menargetkan sistem yang berjalan pada perangkat user melalui file yang dapat diunduh dari suatu sumber.”

Perusahaan keamanan siber Kaspersky menyebut serangan malware ini yang jadi pola yang digunakan Mustang Group. “Mereka biasanya mendapatkan pijakan awal dalam sistem melalui email spear-phishing dengan tautan unduhan Dropbox,” kata General Manager Kaspersky untuk wilayah Asia Tenggara, Siang Tiong.

Setelah diklik, tautan itu mengunduh arsip RAR yang disamarkan sebagai dokumen Word yang berisi muatan berbahaya. Setelah diunduh pada sistem, malware mencoba menginfeksi host lain dengan menyebar melalui drive USB yang dapat dilepas. Jika drive ditemukan, malware membuat direktori tersembunyi di drive, yang kemudian memindahkan semua file korban bersama dengan file yang dapat dieksekusi (executable) berbahaya. 

The Record melaporkan bahwa sumber media itu yang akrab dengan penyelidikan menyebut pihak berwenang telah mengambil langkah untuk mengidentifikasi dan membersihkan sistem yang terinfeksi. Namun beberapa hari setelahnya, peneliti Insikt Group masih menemukan bahwa host dalam jaringan pemerintah Indonesia masih berkomunikasi dengan server malware Mustang Panda.