Reference: How Do Threat Actor Steal Your Data?
Data exfiltration adalah transfer data secara tidak sah terhadap informasi-informasi sensitif atau rahasia dari komputer milik korban ke wilayah yang dikendalikan oleh Threat Actor. Karena data secara rutin datang dan pergi dari jaringan komputer sebuah organisasi, akibatnya Data Exfiltration akan terlihat seperti trafik normal. Hal ini tentu merupakan tantangan yang tidak ringan bagi organisasi untuk mengidentifikasi dan mencegah perbuatan jahat tersebut.
Reference: Anatomy of Data Exfiltration Attack – RSA
Aktivitas ini dilakukan setelah Threat Actor berhasil melakukan penetrasi terhadap sistem dengan memanfaatkan kerentanan yang ada. Ia terjadi pada fase pasca exploit (post exploit phase). Data exfiltration merupakan kelanjutan kisah tentang conficker worm (0x0 Conficker Story) dan operation aurora (0x0 Operation Aurora – Attacking Intellectual Property), terutama kegiatan untuk memindahkan data-data informasi secara tidak sah ke komputer milik penyerang. Tidak berlebihan jika disimpulkan bahwa Data Exfiltration merupakan tujuan akhir yang ingin dicapai oleh Threat Actor.
Data Breach Insident 2015
Tahun 2015 yang lalu, dunia dikagetkan dengan berbagai “data breach incident” atau pencurian data oleh Threat Actor. Pada bulan Juni 2015, Office of Personnel Management (OPM) mengumumkan telah terjadi insiden pencurian besar-besaran terhadap data pegawai federal sebanyak 18 juta data pegawai. Angka tersebut direvisi sebulan kemudian, karena ternyata lebih besar lagi, yaitu mencapai 21,5 juta data pegawai.
Insiden ini termasuk kejadian besar karena terlihat adanya indikasi “data mining operation“, yaitu mencari data-data personalia dengan motif intelijen bukan untuk tujuan kriminal maupun motif uang belaka. Data-data yang diambil pada kejadian ini meliputi data-data aparat penegak hukum dan aparat intelijen Amerika Serikat yang sedang bertugas, termasuk data-data sidik jari mereka. Lebih parahnya, insiden ini sudah berlangsung selama 343 hari tanpa terdeteksi.
Akibat dari insiden ini telah memaksa Direktur OPM, Katherine Archuletta untuk mundur dari jabatannya. Padahal Katherine bukanlah orang sembarangan, Beliau adalah mantan Direktur Politik Nasional (National Political Director) pada tim kampanye pemilihan presiden Barrack Obama, pada pemilu yang kedua kalinya.
Sebulan kemudian (Juli 2015), insiden pencurian data bahkan menimpa Hacking Team Company, sebuah perusahaan yang menjual spyware dan malware kepada pemerintah dan aparat penegak hukum. Pengguna jasa Hacking Team antara lain FBI, DOD, DEA, hingga negara-negara yang dianggap barat lemah dalam melaksanakan penegakan Hak Asasi Manusia seperti Sudan, Bahrain dan Saudi Arabia.
Tidak tanggung-tanggung sebanyak 500 GB data-data finansial (Hacking Team Get Hacked – 500 GB of Data Dumped Over Internet), kontrak, email komunikasi internal dengan client bahkan berbagai source code zero day dipublikasikan ke internet. Tidak berhenti sampai disitu, twitter account milik perusahaan tersebut pun diambil alih dan dipermalukan dengan pernyataan: “Developing ineffective, easy-to-pwn offensive technology to compromise the operations of the worldwide law enforcement and intelligence communities.“
Ironisnya, karyawan yang bekerja di perusahaan konsultan keamanan informasi tersebut ternyata tidak menerapkan best practice yang berlaku di industri cyber security. Mereka menggunakan password yang lemah dan mudah ditebak, seperti ‘P4ssword’, ‘wolverine’, atau ‘universo’.
Dari dua contoh insiden yang menimpa OPM dan Hacking Team tersebut hendaknya membuat kita senantiasa waspada dan selalu memantau dinamika cyber threat yang berkembang cepat.
Tipe, format dan cara Data Exfiltration
Menurut hasil penelitian Intel Security (Data Exfiltration Study: Actors, Tactics & Detection), berikut ini adalah beberapa tabel yang menjelaskan temuan menarik tentang data apa yang dicuri, format data serta cara yang umum digunakan untuk melakukan data exfiltration.
Tabel 1. Tipe data yang dicuri
Tabel 2. Format data yang dicuri
Tabel 3. Cara yang umum digunakan untuk mencuri data
Py-Sec[dot]org 