Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Malware Amadey didorong melalui celah perangkat lunak dalam kampanye SmokeLoader

by

Versi baru malware Amadey Bot didistribusikan melalui malware SmokeLoader, menggunakan celah perangkat lunak dan situs keygen sebagai umpan.

Amadey Bot adalah jenis malware yang ditemukan empat tahun lalu, mampu melakukan pengintaian sistem, mencuri informasi, dan memuat muatan tambahan.

Sementara distribusinya telah memudar setelah tahun 2020, peneliti Korea di AhnLab melaporkan bahwa versi baru telah memasuki sirkulasi dan didukung oleh malware SmokeLoader yang sama tua tetapi masih sangat aktif.

Ini adalah penyimpangan dari ketergantungan Amadey pada Fallout, dan kit exploit Rig, yang umumnya tidak populer karena menargetkan kerentanan yang sudah ketinggalan zaman.

SmokeLoader diunduh dan dieksekusi secara sukarela oleh para korban, menyamar sebagai crack perangkat lunak atau keygen. Karena crack dan key generator biasanya memicu peringatan antivirus, biasanya pengguna menonaktifkan program antivirus sebelum menjalankan program, menjadikannya metode yang ideal untuk mendistribusikan malware.

Setelah dieksekusi, ia menyuntikkan “Bot Utama” ke dalam proses (explorer.exe) yang sedang berjalan, sehingga OS mempercayainya dan mengunduh Amadey di sistem.

Setelah Amadey diambil dan dieksekusi, ia menyalin dirinya sendiri ke folder TEMP dengan nama ‘bguuwe.exe’ dan membuat tugas terjadwal untuk mempertahankan kegigihan menggunakan perintah cmd.exe.

Detail instalasi Amadey (ASEC)

Selanjutnya, Amadey membuat komunikasi C2 dan mengirimkan profil sistem ke server pelaku ancaman, termasuk versi OS, tipe arsitektur, daftar alat antivirus yang diinstal, dll.

Dalam versi terbarunya, nomor 3.21, Amadey dapat menemukan 14 produk antivirus dan, mungkin berdasarkan hasil, mengambil muatan yang dapat menghindari yang sedang digunakan.

Server merespons dengan instruksi untuk mengunduh plugin tambahan dalam bentuk DLL, serta salinan pencuri info tambahan, terutama RedLine (‘yuri.exe’).

Payload diambil dan diinstal dengan melewati UAC dan eskalasi hak istimewa. Amadey menggunakan program bernama ‘FXSUNATD.exe’ untuk tujuan ini dan melakukan elevasi ke admin melalui pembajakan DLL.

Selain itu, pengecualian yang sesuai pada Windows Defender ditambahkan menggunakan PowerShell sebelum mengunduh muatan.

Pengecualian PowerShell dan auto-elevate (ASEC)

Selain itu, Amadey menangkap tangkapan layar secara berkala dan menyimpannya di jalur TEMP untuk dikirim ke C2 dengan permintaan POST berikutnya.

POST permintaan tangkapan layar eksfiltrasi (ASEC)

Salah satu plugin DLL yang diunduh, ‘cred.dll,’ yang dijalankan melalui ‘rundll32.exe,’ mencoba mencuri informasi dari perangkat lunak berikut:

Program Manajemen Router Mikrotik Winbox
Pandangan
FileZilla
Pijin
Total Commander FTP Client
RealVNC, TightVNC, TigerVNC
WinSCP

Tentu saja, jika RedLine dimuat ke host, cakupan penargetan diperluas secara dramatis, dan korban berisiko kehilangan kredensial akun, komunikasi, file, dan aset cryptocurrency.

Untuk menghindari bahaya Amadey Bot dan RedLine, hindari mengunduh file yang retak, aktivator produk perangkat lunak, atau pembuat kunci tidak sah yang menjanjikan akses gratis ke produk premium.

Sumber: Bleeping Computer

AS Mengajukan Tuntutan Pidana Pertamanya atas Perdagangan Orang dalam Cryptocurrency

by

Otoritas Amerika terus menindak perdagangan orang dalam aset digital. The New York Times melaporkan bahwa jaksa federal di New York City telah mendakwa tiga orang dengan penipuan yang berkaitan dengan skema perdagangan orang dalam untuk cryptocurrency, termasuk mantan karyawan pertukaran Coinbase Ishan Wahi. Ini adalah pertama kalinya para pejabat mengajukan tuntutan terkait dengan perdagangan orang dalam mata uang digital, menurut pengacara Distrik Selatan New York Damian Williams.

Seperti kasus perdata pendamping dari Komisi Sekuritas dan Bursa, jaksa menuduh Wahi berbagi informasi rahasia tentang pencatatan aset masa depan dengan saudaranya Nikhil Wahi dan teman saudaranya Sammer Ramani. Data yang dibagikan antara “setidaknya” Juni 2021 dan April 2022, membantu Nikhil dan temannya membeli aset sebelum listing tersebut meningkatkan nilainya. Keduanya kemudian akan menjual aset mereka untuk mendapatkan keuntungan. Pembelian 25 aset atau lebih menghasilkan laba lebih dari $ 1,1 juta, menurut SEC.

Coinbase memulai penyelidikan internal pada bulan April sebagai tanggapan atas posting Twitter tentang aktivitas perdagangan yang tidak biasa. Ishan Wahi memesan penerbangan ke India tepat sebelum Coinbase akan mewawancarainya, tetapi dia dan saudaranya ditangkap di Seattle pagi ini. Ramani masih buron dan diyakini berada di India, kata SEC.

Pengacara Wahi mempertahankan ketidakbersalahan klien mereka, dan mengatakan dia akan “keras” membela diri terhadap tuduhan tersebut. Ramani dan pengacara saudara laki-laki Wahi belum mengomentari tuduhan itu. Coinbase mengatakan telah menyerahkan informasi ke Departemen Kehakiman dan telah memecat Wahi sebagai bagian dari kebijakan “tanpa toleransi” untuk perilaku ini.

Sumber: Engadget

0-hari yang Digunakan untuk Menginfeksi Pengguna Chrome Juga Dapat Menimbulkan Ancaman bagi Pengguna Edge dan Safari

by

Penjual rahasia perangkat lunak serangan siber baru-baru ini mengeksploitasi kerentanan Chrome yang sebelumnya tidak diketahui dan dua zero-days lainnya dalam kampanye yang secara diam-diam menginfeksi jurnalis dan target lainnya dengan spyware canggih, kata peneliti keamanan.

CVE-2022-2294, karena kerentanan dilacak, berasal dari kelemahan korupsi memori di Web Real-Time Communications, sebuah proyek sumber terbuka yang menyediakan antarmuka pemrograman JavaScript untuk mengaktifkan kemampuan komunikasi suara, teks, dan video real-time antara browser web dan perangkat. Google menambal cacat pada 4 Juli setelah peneliti dari perusahaan keamanan Avast secara pribadi memberi tahu perusahaan bahwa itu sedang dieksploitasi dalam serangan lubang air, yang menginfeksi situs web yang ditargetkan dengan malware dengan harapan kemudian menginfeksi pengguna yang sering. Microsoft dan Apple masing-masing telah menambal kelemahan WebRTC yang sama di browser Edge dan Safari mereka.

Avast mengatakan pada hari Kamis bahwa mereka menemukan beberapa kampanye serangan, masing-masing memberikan eksploitasi dengan caranya sendiri ke pengguna Chrome di Lebanon, Turki, Yaman, dan Palestina. Situs sangat selektif dalam memilih pengunjung mana yang akan dijangkiti. Setelah situs berhasil mengeksploitasi kerentanan, mereka menggunakan akses mereka untuk menginstal DevilsTongue, nama yang diberikan Microsoft tahun lalu untuk malware canggih yang dijual oleh perusahaan yang berbasis di Israel bernama Candiru.

“Di Lebanon, para penyerang tampaknya telah menyusup ke situs web yang digunakan oleh karyawan kantor berita,” tulis peneliti Avast, Jan Vojtěšek. “Kami tidak dapat mengatakan dengan pasti apa yang mungkin dikejar para penyerang, namun seringkali alasan mengapa penyerang mengejar jurnalis adalah untuk memata-matai mereka dan cerita yang mereka kerjakan secara langsung, atau untuk mendapatkan sumber mereka dan mengumpulkan informasi yang membahayakan. dan data sensitif yang mereka bagikan kepada pers.”

Vojtěšek mengatakan Candiru telah berbohong setelah paparan yang diterbitkan Juli lalu oleh Microsoft dan CitizenLab. Peneliti mengatakan perusahaan itu muncul kembali dari bayang-bayang pada bulan Maret dengan perangkat yang diperbarui. Situs yang tidak diidentifikasi oleh Avast, bersusah payah tidak hanya dalam memilih hanya pengunjung tertentu untuk diinfeksi, tetapi juga dalam mencegah kerentanan zero-day yang berharga ditemukan oleh para peneliti atau calon peretas saingan.

Terlepas dari upaya untuk menjaga kerahasiaan CVE-2022-2294, Avast berhasil memulihkan kode serangan, yang mengeksploitasi heap overflow di WebRTC untuk mengeksekusi shellcode berbahaya di dalam proses renderer. Pemulihan memungkinkan Avast mengidentifikasi kerentanan dan melaporkannya ke pengembang sehingga dapat diperbaiki. Perusahaan keamanan tidak dapat memperoleh eksploitasi zero-day terpisah yang diperlukan sehingga eksploitasi pertama dapat lolos dari kotak pasir keamanan Chrome. Itu berarti hari nol kedua ini akan hidup untuk bertarung di hari lain.

Setelah DevilsTongue terinstal, ia berusaha untuk meningkatkan hak sistemnya dengan menginstal driver Windows yang mengandung kerentanan lain yang belum ditambal, sehingga jumlah zero-days yang dieksploitasi dalam kampanye ini menjadi setidaknya tiga. Setelah driver yang tidak dikenal diinstal, DevilsTongue akan mengeksploitasi kelemahan keamanan untuk mendapatkan akses ke kernel, bagian paling sensitif dari sistem operasi apa pun. Peneliti keamanan menyebut teknik itu BYOVD, kependekan dari “bawa pengemudi rentan Anda sendiri.” Ini memungkinkan malware untuk mengalahkan pertahanan OS karena sebagian besar driver secara otomatis memiliki akses ke kernel OS.

Avast telah melaporkan kekurangan tersebut kepada pembuat driver, tetapi tidak ada indikasi bahwa patch telah dirilis. Pada saat publikasi, hanya Avast dan satu mesin antivirus lainnya yang mendeteksi eksploitasi driver.

Karena Google dan Microsoft menambal CVE-2022-2294 pada awal Juli, kemungkinan besar sebagian besar pengguna Chrome dan Edge sudah terlindungi. Apple, bagaimanapun, memperbaiki kerentanan pada hari Rabu, yang berarti pengguna Safari harus memastikan browser mereka mutakhir.

“Meskipun tidak ada cara bagi kami untuk mengetahui dengan pasti apakah kerentanan WebRTC juga dieksploitasi oleh kelompok lain, itu adalah kemungkinan,” tulis Vojtěšek. “Terkadang zero-days ditemukan secara independen oleh banyak grup, terkadang seseorang menjual kerentanan/eksploitasi yang sama ke beberapa grup, dll. Tetapi kami tidak memiliki indikasi bahwa ada grup lain yang mengeksploitasi zero-day yang sama ini.”

Sunber: Ars Technica

Pasar Penuh: Tawar-menawar di Web Gelap Memberikan Awal yang Cepat bagi Penjahat Siber Pemula

by

Calon penjahat dunia maya dapat dengan mudah membeli alat canggih, eksploitasi umum, dan kredensial curian di pasar bawah tanah dengan harga beberapa dolar — hambatan masuk yang rendah bagi pemula, menurut sebuah studi terhadap 33.000 pasar Dark Web.

Menurut analisis baru dari HP Wolf Security dan peneliti di Forensic Pathways, ada banyak penawaran yang bisa didapat. Dari 174 eksploit yang ditemukan diiklankan di Dark Web, 91% harganya kurang dari $10, sementara 76% dari lebih dari 1.650 iklan untuk malware memiliki harga yang sama.

Aset penyerang umum lainnya juga memiliki harga yang sama rendahnya: Biaya rata-rata, misalnya, untuk kredensial yang dicuri untuk mengakses instans Remote Desktop Protocol (RDP) hanya $5.

Sementara kelompok malware yang lebih maju menggunakan forum pribadi untuk memperdagangkan eksploitasi zero-day, kredensial, eksploitasi, dan alat yang tersedia yang ditawarkan dalam ekonomi bawah tanah yang lebih luas memungkinkan pemula untuk dengan cepat membuat kumpulan alat yang kredibel, kata Alex Holland, analis malware senior di HP dan primer. penulis laporan.

Penjahat dunia maya pemula “dapat menggunakan alat sumber terbuka yang tersedia secara bebas, dan – selama Anda cukup terampil untuk mengenkripsi, menggunakan pengepak, menggunakan teknik untuk menghindari pertahanan – maka alat itu akan melakukan pekerjaan dengan sangat baik,” katanya.

Studi tentang pasar Web Gelap menganalisis sekitar 33.000 situs, forum, dan pasar aktif selama periode dua bulan, menemukan bahwa pasar untuk alat dan pengetahuan dasar sudah mengakar dengan baik, dan menarik pelanggan baru setiap saat.

Peningkatan jumlah pelaku ancaman bisa berarti bisnis akan menemukan operasi mereka ditargetkan bahkan lebih dari sekarang, menurut Michael Calce, anggota Dewan Penasihat Keamanan HP dan mantan peretas (alias MafiaBoy). HP membawa kriminolog dan mantan peretas untuk membantu menempatkan studi dalam konteks.

“Saat ini, hanya sebagian kecil penjahat dunia maya yang benar-benar membuat kode, sebagian besar hanya untuk uang — dan hambatan untuk masuk sangat rendah sehingga hampir semua orang bisa menjadi aktor ancaman,” kata Calce dalam laporan tersebut. “Itu berita buruk bagi bisnis.”

Untuk melindungi diri mereka dari peningkatan jumlah penyerang siber, HP merekomendasikan agar perusahaan melakukan dasar-dasarnya, menggunakan otomatisasi dan praktik terbaik untuk mengurangi area permukaan serangan mereka. Selain itu, bisnis perlu secara teratur melakukan latihan untuk membantu merencanakan dan menanggapi serangan kasus terburuk, karena penyerang akan semakin berusaha membatasi pilihan eksekutif setelah serangan untuk menjadikan pembayaran tebusan sebagai opsi terburuk terbaik.

“Jika yang terburuk terjadi dan aktor ancaman melanggar pertahanan Anda, maka Anda tidak ingin ini menjadi pertama kalinya Anda memprakarsai rencana respons insiden,” Joanna Burkey, kepala petugas keamanan informasi di HP, mengatakan dalam laporannya. “Memastikan bahwa setiap orang mengetahui peran mereka, dan bahwa orang-orang terbiasa dengan proses yang harus mereka ikuti, akan sangat membantu dalam mengatasi dampak terburuk.”

Sumber: DARKReading

Raksasa Keamanan Digital “Entrust” Dilanggar oleh Geng Ransomware

by

Raksasa keamanan digital Entrust telah mengkonfirmasi bahwa mereka mengalami serangan siber di mana pelaku ancaman menembus jaringan mereka dan mencuri data dari sistem internal.

Entrust adalah perusahaan keamanan yang berfokus pada kepercayaan online dan manajemen identitas, menawarkan berbagai layanan, termasuk komunikasi terenkripsi, pembayaran digital yang aman, dan solusi penerbitan ID.

Bergantung pada data apa yang dicuri, serangan ini dapat berdampak pada sejumlah besar organisasi penting dan sensitif yang menggunakan Entrust untuk manajemen identitas dan autentikasi.

Ini termasuk lembaga pemerintah AS, seperti Departemen Energi, Departemen Keamanan Dalam Negeri, Departemen Keuangan, Departemen Kesehatan & Layanan Kemanusiaan, Departemen Urusan Veteran, Departemen Pertanian, dan banyak lagi.

Peretas menerobos jaringan Entrust pada bulan Juni
Sekitar dua minggu lalu, sebuah sumber mengatakan kepada BleepingComputer bahwa Entrust telah dibobol pada 18 Juni dan para peretas mencuri data perusahaan selama serangan siber.

Namun, baru kemarin pelanggaran itu dikonfirmasi secara publik ketika peneliti keamanan Dominic Alvieri men-tweet tangkapan layar dari pemberitahuan keamanan yang dikirim ke pelanggan Entrust pada 6 Juli.

“Saya menulis untuk memberi tahu Anda bahwa pada tanggal 18 Juni, kami mengetahui bahwa pihak yang tidak berwenang mengakses sistem tertentu kami yang digunakan untuk operasi internal. Kami telah bekerja tanpa lelah untuk memulihkan situasi ini sejak saat itu,” bunyi pemberitahuan keamanan dari CEO Entrust Todd Wilkinson.

“Hal pertama yang ingin saya sampaikan kepada Anda adalah, meskipun penyelidikan kami sedang berlangsung, kami tidak menemukan indikasi hingga saat ini bahwa masalah tersebut telah memengaruhi operasi atau keamanan produk dan layanan kami.”

Pemberitahuan keamanan mengonfirmasi bahwa data dicuri dari sistem internal Entrust. Namun, saat ini belum diketahui apakah ini murni data perusahaan atau juga data pelanggan dan vendor.

“Kami telah menentukan bahwa beberapa file diambil dari sistem internal kami. Saat kami terus menyelidiki masalah ini, kami akan menghubungi Anda secara langsung jika kami mengetahui informasi yang kami yakini akan memengaruhi keamanan produk dan layanan yang kami berikan kepada organisasi Anda.” – Percayakan.

Hari ini, Entrust mengatakan kepada BleepingComputer bahwa mereka bekerja dengan perusahaan keamanan siber terkemuka dan penegak hukum untuk menyelidiki serangan itu tetapi itu tidak mempengaruhi operasi mereka.

“Sementara penyelidikan kami sedang berlangsung, kami tidak menemukan indikasi hingga saat ini bahwa masalah tersebut telah memengaruhi operasi atau keamanan produk dan layanan kami, yang dijalankan di lingkungan yang terpisah dengan celah udara dari sistem internal kami dan beroperasi penuh,” Entrust kepada BleepingComputer.

Sumber: BleepingComputer

Ransomware Redeemer Versi Baru Dipromosikan di Forum Peretas

by

Seorang pelaku ancaman mempromosikan versi baru pembuat ransomware ‘Penebus’ mereka yang gratis di forum peretas, menawarkan pelaku ancaman yang tidak terampil akses mudah ke dunia serangan pemerasan yang didukung enkripsi.

Menurut penulisnya, rilis versi 2.0 yang baru ditulis seluruhnya dalam C++ dan bekerja pada Windows Vista, 7, 8, 10, dan 11, menampilkan kinerja multi-utas dan tingkat deteksi AV menengah.

Tidak seperti banyak operasi Ransomware-as-a-Service (RaaS), siapa pun dapat mengunduh dan menggunakan pembuat ransomware Redeemer untuk meluncurkan serangan mereka sendiri. Namun, ketika seorang korban memutuskan untuk membayar uang tebusan, penulis menerima 20% dari biaya dan membagikan kunci master untuk digabungkan dengan kunci pembuatan pribadi yang dipegang oleh afiliasi untuk dekripsi.

Selain itu, versi baru ini menampilkan antarmuka pengguna grafis baru bagi afiliasi untuk membangun alat dekripsi dan eksekusi ransomware, sementara semua petunjuk tentang cara menggunakannya terlampir dalam ZIP.

Penulis mengatakan proyek akan menjadi open-source jika mereka kehilangan minat, persis seperti yang terjadi dengan Redeemer 1.0 pada Juni 2021, ketika aktor ancaman merilis kode sumbernya secara publik.

Detail Penebus 2.0

Versi pembuat ransomware baru menampilkan beberapa tambahan seperti dukungan untuk Windows 11, alat GUI, dan lebih banyak opsi komunikasi seperti XMPP dan Obrolan Tox.

Selain itu, sekarang ada sistem pelacakan ID kampanye, menambahkan data ke dalam executable, memungkinkan pelaku ancaman untuk melacak berbagai kampanye yang mungkin mereka lakukan.

Karena jumlah tebusan ditetapkan selama pembuatan yang dapat dieksekusi dan sesuai dengan ID tertentu, afiliasi tidak dapat membuat klaim sewenang-wenang kepada penulis, sehingga potongan 20% yang terakhir dijamin.

Penulis telah membuat halaman di situs web gelap bagi afiliasi untuk memperoleh kit, menjalin komunikasi, mengakses instruksi, dan menerima dukungan.

Para peneliti di Cyble, yang telah menganalisis versi baru, melaporkan bahwa ransomware membuat mutex saat diluncurkan untuk menghindari beberapa contoh yang berjalan di sistem korban dan menyalahgunakan Windows API untuk mengeksekusi dirinya sendiri dengan hak istimewa admin.

Sebelum enkripsi, malware menyalahgunakan perintah Windows untuk menghapus log peristiwa dan menghapus salinan bayangan dan cadangan status sistem apa pun, mencegah pemulihan yang mudah/gratis.

Selanjutnya, proses yang ditunjukkan di bawah ini dihentikan untuk mencegah membahayakan proses enkripsi dan untuk membebaskan semua file dan data target agar dapat dienkripsi.

Setelah itu, ransomware menjatuhkan ikon khusus untuk Windows yang digunakan untuk ekstensi file terenkripsi (redeem), menghasilkan catatan tebusan, dan menghitung semua file dan direktori.

Bleeping Computer menguji ransomware secara independen dan menemukan bahwa ransomware tidak menghapus semua file setelah mengenkripsinya, sehingga operasinya tampaknya tidak dapat diandalkan sekarang.

Saat mencoba membuka salah satu salinan terenkripsi, korban menerima pesan yang mengarahkan mereka untuk membuka catatan tebusan untuk instruksi tentang apa yang harus dilakukan.

Ransomware juga menambahkan catatan tebusan di kunci registri Winlogon untuk memperingatkan pengguna tentang apa yang terjadi saat sistem dihidupkan ulang.

Sumber: BleepingComputer

Serangan Siber di Pelabuhan Los Angeles Telah Berlipat Ganda Sejak Pandemi

by

Jumlah serangan bulanan yang menargetkan Pelabuhan Los Angeles sekarang sekitar 40 juta, direktur eksekutif pelabuhan Gene Seroka mengatakan kepada BBC.

Los Angeles adalah pelabuhan tersibuk di belahan bumi barat, menangani lebih dari $250 miliar (£210bn) kargo setiap tahun.

Ancaman diyakini datang terutama dari Eropa dan Rusia, dan bertujuan untuk mengganggu ekonomi AS, kata Seroka.

“Intelijen kami menunjukkan ancaman datang dari Rusia dan sebagian Eropa. Kami harus tetap selangkah di depan mereka yang ingin merusak perdagangan internasional,” katanya kepada BBC World Service.

Mereka menghadapi serangan ransomware, malware, spear phishing, dan pengumpulan kredensial setiap hari, dengan tujuan menyebabkan gangguan sebanyak mungkin dan memperlambat ekonomi.

Pelabuhan tersebut telah menginvestasikan jutaan dolar dalam perlindungan siber, mengembangkan salah satu Pusat Ketahanan Siber pertama di dunia, yang merupakan bagian dari FBI.

“Kita harus mengambil setiap tindakan pencegahan terhadap potensi insiden siber, terutama yang dapat mengancam atau mengganggu arus kargo,” kata Seroka.

Pusat Ketahanan Siber menyediakan pengumpulan intelijen yang ditingkatkan dan perlindungan yang ditingkatkan terhadap ancaman siber dalam rantai pasokan maritim.

Ini adalah hub bagi pelabuhan untuk menerima, menganalisis, dan berbagi informasi dengan mereka yang beroperasi di dermaga, seperti penangan kargo dan jalur pelayaran.

Ketegangan pada rantai pasokan telah mereda, kata Seroka. Pada Januari 2022 ada 109 kapal kontainer yang antri selama lebih dari dua hari untuk masuk ke Pelabuhan Los Angeles. Saat ini ada sekitar 20 orang yang menunggu untuk berlabuh.

Tapi Seroka yakin penyumbatan tidak akan hilang sepenuhnya sampai 2023. “Ada begitu banyak kargo masuk dan tidak cukup ruang,” katanya.

“Dua tahun terakhir telah membuktikan peran vital yang dimiliki pelabuhan terhadap infrastruktur kritis, rantai pasokan, dan ekonomi negara kita. Sangat penting bagi kita untuk menjaga sistem seaman mungkin,” tambahnya.

Sumber: BBC

Bagaimana NSA Bergerak Menuju Masa Depan Ketahanan Kuantum

by

Komputasi kuantum adalah teknologi maju pesat yang memiliki potensi untuk mengubah industri dengan memecahkan masalah optimasi kompleks yang menghindari komputer klasik. Tapi apa yang terjadi ketika komputer kuantum digunakan melawan infrastruktur digital yang melindungi data paling sensitif di negara kita? Ini adalah pertanyaan yang tidak menunggu untuk diketahui oleh Administrasi Keamanan Nasional (NSA), dan juga organisasi swasta.

Komputer kuantum memanfaatkan sifat kuantum partikel subatom untuk melakukan perhitungan yang tak terhitung jumlahnya secara bersamaan dan, dalam hitungan detik, memecahkan masalah yang bahkan superkomputer paling kuat saat ini akan membutuhkan waktu ribuan tahun untuk menyelesaikannya. Pertimbangkan penggunaan komputer semacam itu dalam mengoptimalkan portofolio investasi keuangan, perutean kendaraan, proses manufaktur, alokasi sumber daya energi, dan pengembangan obat, dan potensi transformasi komputasi kuantum menjadi jelas. Namun, perkembangan pesat superkomputer revolusioner ini telah menimbulkan kekhawatiran di sektor pertahanan karena negara-bangsa yang bermusuhan saat ini menginvestasikan miliaran dolar untuk mempersenjatai komputer kuantum.

Perhatian utama Departemen Pertahanan (DoD) adalah bahwa komputer kuantum yang dipersenjatai dapat digunakan untuk memecahkan enkripsi yang melindungi data dan komunikasi pemerintah yang sensitif. Ada ribuan ilmuwan, matematikawan, dan pemrogram kuantum yang saat ini dipekerjakan oleh negara-negara musuh untuk memajukan ancaman kuantum terhadap Amerika Serikat. Komputer kuantum yang dapat mengganggu sistem digital vital dan mendekripsi informasi rahasia menghadirkan ancaman keamanan nasional yang sangat besar. Amerika Serikat telah merespons dengan mengembangkan teknologi untuk melawan ancaman kuantum dan memperkuat infrastruktur digitalnya. Secara khusus, NSA telah ditugaskan untuk memastikan keamanan masa depan infrastruktur digital Amerika Serikat dengan menerapkan solusi tahan kuantum pada sistem keamanan nasional (NSS).

Mempercepat Upaya NSA

Garis waktu untuk upaya NSA untuk beralih ke PQC dipersingkat secara signifikan ketika pada bulan Januari Presiden Biden menandatangani Nota Keamanan Nasional (NSM-8) tentang “Meningkatkan Keamanan Siber Keamanan Nasional, Departemen Pertahanan, dan Sistem Komunitas Intelijen.” Memo tersebut secara khusus meminta NSA dan Komite Sistem Keamanan Nasional (CNSS) untuk, dalam waktu 180 hari, mengidentifikasi contoh enkripsi yang digunakan pada NSS yang tidak sesuai dengan algoritme tahan kuantum yang disetujui NSA, serta memberikan rencana dan garis waktu untuk mentransisikan sistem tersebut ke standar tahan kuantum.

NSA tidak dapat lagi menunggu hingga tahun 2024 bagi NIST untuk menyelesaikan standar PQC dan sekarang ditugaskan untuk mengaudit infrastruktur siber NSS saat ini dan segera menyediakan rencana transisi PQC. Mandat ini menandai awal dari siklus kenaikan terbesar dalam sejarah keamanan siber untuk Departemen Pertahanan. Organisasi swasta akan bijaksana untuk bertindak dengan urgensi yang sama seperti NSA dan mulai mengeksplorasi solusi pasca-kuantum untuk sistem mereka sendiri.

Kolaborasi Antar-Lembaga

Transisi yang berhasil dari NSS ke PQC akan membutuhkan kolaborasi dari berbagai otoritas pemerintah. Bagian 1(v) NSM-8 mengharuskan NSA untuk bekerja sama dengan Departemen Keamanan Dalam Negeri (DHS) dan organisasi keamanan nasional lainnya dalam mengoordinasikan proses transisi ini. Baru-baru ini, DHS merilis peta jalan yang menguraikan strategi transisi PQC langkah demi langkah bagi pemerintah dan lembaga komersial untuk menginventarisasi informasi paling sensitif mereka dan memprioritaskan peningkatan sistem mereka. Ini akan menjadi alat yang berguna bagi NSA karena lembaga tersebut melakukan proses evaluasi serupa untuk NSS. Alat DHS terbuka untuk umum dan menawarkan sumber daya yang berharga bagi organisasi swasta untuk melakukan audit serupa pada sistem mereka sendiri.

Perlunya Kolaborasi Publik-Swasta

NSA secara konsisten membuka pintunya untuk kolaborasi dengan sektor swasta yang akan sangat penting ketika Amerika Serikat bergerak maju ke generasi baru keamanan siber. Program Solusi Komersial untuk Rahasia (CSfC) NSA adalah platform yang memungkinkan pengembang komersial swasta (yaitu, vendor) untuk mendaftarkan komponen keamanan siber dari produk Commercial Off The Shelf (COTS) untuk digunakan di NSS. Komponen-komponen ini dikompilasi ke dalam Paket Kemampuan (CP) agnostik vendor yang disediakan untuk klien CSfC, termasuk DoD, komunitas intelijen, dinas militer, agen federal, dan pemangku kepentingan NSS lainnya. Meskipun CSfC tidak akan memberikan solusi komersial untuk algoritme pasca-kuantum sampai NIST menyelesaikan penelitian dan rekomendasi standar PQC, ada banyak sumber daya yang tersedia melalui CSfC yang dirancang untuk membantu klien, yang mencakup organisasi pemerintah dan swasta yang menggunakan NSS, mempermudah proses peningkatan.

National Cyber ​​Center of Excellence (NCCoE) telah meluncurkan Proyek Migrasi Pasca-Kuantum yang menyatukan pakar akademis, industri, dan pemerintah untuk mengembangkan seperangkat alat bagi organisasi untuk mengaudit sistem mereka, menilai risiko, dan mempersiapkan peningkatan kuantum. Jenis kolaborasi publik-swasta ini akan sangat penting untuk memastikan bahwa baik pemerintah maupun sektor swasta menavigasi transisi dengan lancar. Sektor swasta harus mengikuti jejak NSA dan otoritas siber lainnya dan mulai mempersiapkan sistem mereka untuk transisi ke PQC guna memastikan bahwa infrastruktur digital yang mendukung Amerika Serikat tetap aman sekarang, dan memasuki era kuantum.

Sumber: The National Interest