Apa itu eksploitasi zero-day, dan mengapa hal itu berbahaya?

Apa itu zero day?

Eksploitasi zero-day terjadi ketika penjahat siber menemukan kelemahan ini dan memanfaatkannya untuk kepentingan mereka. Istilah “zero day” berarti pengembang atau vendor tidak memiliki waktu sama sekali — nol hari — untuk memperbaiki masalah karena perangkat lunak sudah digunakan. 

Dalam situasi ideal, orang yang menemukan kerentanan melaporkannya agar diperbaiki. Sayangnya, sering kali peretas lebih dulu memanfaatkan kerentanan sebelum pengembang sempat menanganinya.

Definisi kerentanan zero-day

Kerentanan zero-day adalah celah keamanan di perangkat lunak atau perangkat keras yang belum ditemukan oleh pengembang atau vendor. Artinya, belum ada cara untuk menutup celah tersebut. Kerentanan ini bisa berupa bug, enkripsi yang lemah, atau sistem autorisasi yang tidak aman. Celah ini bisa dimanfaatkan oleh peretas untuk melakukan serangan zero-day.

Definisi eksploitasi zero-day

Eksploitasi zero-day adalah cara yang digunakan penjahat siber untuk memanfaatkan kerentanan zero-day. Mereka menggunakan kode, alat, atau strategi tertentu dari penjahat siber untuk menyerang celah keamanan yang belum diketahui pengembang. Eksploitasi ini adalah langkah yang memungkinkan terjadinya serangan zero-day.

Definisi serangan zero-day

Serangan zero-day adalah serangan siber yang memanfaatkan celah keamanan zero-day. Penjahat siber menggunakan celah ini untuk melakukan tindakan ilegal, seperti memasang pintu belakang, menyebarkan malware, atau mencuri informasi sensitif.

Bagaimana cara kerja serangan zero-day?

Peretas melancarkan serangan zero-day dengan menemukan celah keamanan di perangkat lunak atau perangkat keras. Mereka kemudian menulis dan menjalankan kode untuk memanfaatkan celah itu sebelum pengembang sempat memperbaikinya. 

Serangan ini memberi akses ilegal ke sistem dan membahayakan keamanan pengguna, memungkinkan pencurian data pribadi untuk tujuan jahat. Misalnya, jika penyerang menyerang IoT di gedung pintar, penghuni bisa kehilangan akses, data perilaku mereka dicuri, dan infrastruktur penting seperti listrik atau air bisa terganggu.

Siapa yang melakukan serangan zero-day?

Tergantung pada motifnya, berbagai kelompok pelaku kejahatan siber dapat memanfaatkan eksploitasi zero-day untuk menyusup ke sistem yang memiliki kerentanan zero-day. Pelaku yang paling umum antara lain:

• Penjahat siber – Kelompok atau individu yang berupaya membocorkan data sensitif, umumnya demi keuntungan finansial.
• Hacktivis – pelaku jahat yang termotivasi oleh isu-isu politik dan sosial, yang ingin agar serangan mereka menarik perhatian terhadap isu yang mereka perjuangkan.
• Peretas spionase korporat – peretas yang memata-matai perusahaan untuk mengumpulkan informasi penting, seperti rahasia dagang dan dokumen rahasia.
• Agen perang siber – lembaga pemerintah dan aktor politik yang memanfaatkan kerentanan keamanan siber untuk memata-matai atau menyerang infrastruktur siber negara lain.

Masing-masing entitas ini memanfaatkan risiko siber, seperti kerentanan zero-day, untuk mendapatkan akses ke sistem yang tidak aman. Sementara sebagian pelaku bertindak secara diam-diam, yang lain dapat menjual eksploitasi zero-day di dark web dan bahkan membagikan informasi mengenai kerentanan tersebut di forum keamanan siber online dan media sosial.

Apa saja sasaran serangan zero-day yang paling umum?

Penjahat siber dan pemerintah memanfaatkan kerentanan zero-day yang menargetkan sistem operasi, browser web, aplikasi perkantoran, perangkat keras, firmware, dan bahkan sistem Internet of Things (IoT). Keragaman target yang luas membuat daftar targetnya pun cukup panjang:

• Perusahaan dan organisasi besar.
• Lembaga pemerintah.
• Infrastruktur kritis.
• Lembaga penelitian dan universitas.
• Tokoh-tokoh terkemuka, terutama mereka yang memiliki informasi berharga dan sensitif atau yang memiliki akses ke sistem yang rentan. 
• Target politik dan ancaman keamanan nasional.

Anda juga dapat mengkategorikan target serangan zero-day berdasarkan apakah serangan zero-day tersebut ditargetkan atau tidak:

• Serangan zero-day yang ditargetkan berfokus pada target yang berpotensi berharga, seperti perusahaan besar, individu terkenal, dan lembaga pemerintah.
• Serangan zero-day yang tidak ditargetkan umumnya digunakan terhadap pengguna sistem yang rentan, seperti browser atau sistem operasi.

Contoh serangan zero-day

Banyak kasus serangan zero-day yang terkenal telah terjadi sepanjang sejarah modern. Mari kita lihat beberapa insiden yang paling terkenal.

Stuxnet

Stuxnet adalah worm komputer yang memanfaatkan beberapa kerentanan zero-day di sistem Windows untuk menyerang sistem SCADA (supervisory control and data acquisition). Worm ini merusak program nuklir Iran secara signifikan, menghancurkan hampir seperlima sentrifugal nuklir, dan menginfeksi sekitar 200.000 komputer. 

Stuxnet sering disebut sebagai salah satu senjata siber pertama, karena serangan ini diduga dilakukan oleh Amerika Serikat dan Israel.

Peretasan Sony

Peretasan Sony pada 2014 menjadi salah satu contoh eksploitasi zero-day paling terkenal. Para penjahat memanfaatkan celah keamanan yang belum diketahui untuk masuk ke jaringan Sony Pictures dan mencuri data. 

Mereka membocorkan informasi sensitif, termasuk salinan film yang belum dirilis, rencana perusahaan, kesepakatan bisnis, dan email manajemen puncak Sony. Hingga kini, jenis eksploitasi yang digunakan para peretas masih misterius.

Dridex

Pada 2017, peretas menemukan celah keamanan di Microsoft Word dan menyembunyikan malware Dridex dalam lampiran Word. Siapa pun yang membuka berkas ini akan mengaktifkan trojan Dridex. 

Malware perbankan ini menyebar ke jutaan pengguna di seluruh dunia. Microsoft juga pernah mengalami celah keamanan zero-day pada Microsoft Exchange pada 2021.

Kerentanan zero-day Firefox

Pada 2020, Firefox memiliki celah keamanan yang memungkinkan peretas menyisipkan dan menjalankan kode berbahaya di memori browser. Dengan celah ini, penjahat siber bisa menyerang perangkat korban. Para pengembang segera merilis perbaikan darurat, tapi beberapa peretas sudah sempat memanfaatkannya.

Zero-day Zoom

Pada 2020, Zoom menghadapi dua celah keamanan zero-day. Yang pertama memungkinkan pencurian kredensial lewat tautan berbahaya di obrolan Zoom pada Windows. Yang kedua memengaruhi Mac, memberi penyerang akses root dan kontrol mikrofon serta kamera pengguna. Zoom segera menutup celah ini dengan merilis pembaruan keamanan.

Kerentanan zero-day Google Chrome

Pada 2021, Chrome menghadapi beberapa celah zero-day dan harus merilis tiga pembaruan darurat. Salah satunya bisa memungkinkan eksekusi kode jarak jauh dan serangan DDoS. Pada 2022, Chrome kembali diserang melalui zero-day, tetapi semua celah sudah diperbaiki.

Kaseya

Pada 2021, perusahaan perangkat lunak AS, Kaseya, diserang melalui celah zero-day di perangkat lunak VSA mereka. Penyerang memanfaatkan kerentanan ini untuk menyebarkan ransomware ke penyedia layanan terkelola (MSP) dan pelanggan mereka. Serangan ini menyebabkan gangguan luas, memengaruhi ribuan organisasi di seluruh dunia.

Log4Shell

Kerentanan zero-day Log4Shell ditemukan pada 2021 di library pencatatan Apache Log4j, yang banyak dipakai dalam aplikasi Java. Celah ini memungkinkan penyerang jarak jauh menjalankan kode berbahaya di server Java yang rentan. 

Karena Log4j digunakan secara luas, kerentanan ini mengancam banyak aplikasi dan layanan di seluruh dunia, berisiko menimbulkan kebocoran data, pengambilalihan server, dan akses tidak sah ke informasi sensitif.

Shellshock

Shellshock adalah kerentanan zero-day yang ditemukan pada September 2014. Celah ini menyerang Bash shell, sebuah program baris perintah yang banyak dipakai di sistem Unix, termasuk Linux dan macOS. 

Kerentanan ini memungkinkan penyerang menjalankan perintah berbahaya dari jarak jauh melalui layanan jaringan seperti server web atau klien DHCP. Karena banyak sistem Unix terpengaruh, Shellshock menjadi ancaman serius dan memaksa administrator serta vendor perangkat lunak segera melakukan perbaikan.

Petya dam NotPetya

Petya dan NotPetya adalah serangan zero-day yang ditemukan pada 2016 dan 2017. Keduanya memanfaatkan celah keamanan di sistem operasi Windows dan menyebar melalui email phishing serta perangkat lunak berbahaya. Serangan ini membuat sistem korban tidak bisa digunakan sampai tebusan dibayarkan. 

NotPetya, berbeda dengan Petya, tampaknya bertujuan menimbulkan gangguan besar daripada mencari uang. Eksploitasi ini merusak banyak organisasi di seluruh dunia, termasuk infrastruktur penting, bisnis, dan lembaga pemerintah.

WannaCry

WannaCry adalah serangan ransomware yang terjadi pada Mei 2017. Serangan ini menargetkan komputer Windows dengan memanfaatkan celah pada protokol Server Message Block (SMB). Eksploit yang digunakan, bernama EternalBlue, diduga dibuat oleh NSA dan bocor oleh kelompok Shadow Brokers. 

Dalam hitungan jam, serangan ini menginfeksi ribuan komputer di lebih dari 150 negara, mengenkripsi file, dan meminta tebusan dalam bentuk Bitcoin untuk membebaskan file korban.

Cara mengetahui apakah Anda korban zero-day

Istilah "serangan zero-day" mengisyaratkan bahwa tidak ada cara untuk mengetahui bahwa Anda sedang diserang sampai semuanya sudah terlambat. Namun, Anda dapat meminimalkan potensi kerugian jika Anda waspada dan segera menanggapi tanda-tanda peringatan berikut ini:

• Perilaku yang tidak biasa. Sistem yang tiba-tiba macet atau melambat bisa jadi tanda adanya potensi serangan siber.
• Aktivitas jaringan yang tidak jelas. Jika Anda melihat koneksi atau domain mencurigakan di log jaringan Anda, itu bisa berarti sistem Anda sedang disusupi oleh tamu tak diundang.
• Peringatan keamanan. Peringatan dari perangkat lunak antivirus dan sistem deteksi intrusi bisa menjadi indikasi adanya upaya serangan siber atau serangan yang telah berhasil.
• Perubahan file yang tidak dapat dijelaskan. Perubahan mendadak pada file atau direktori di sistem Anda, seperti file yang dienkripsi atau dimodifikasi tanpa izin Anda, merupakan tanda bahaya lain dari potensi serangan siber.
• Aktivitas akun yang tidak dapat dijelaskan. Masuk dari lokasi yang tidak dikenal atau perubahan pada pengaturan akun merupakan indikasi kuat bahwa keamanan telah dilanggar.
• Kehilangan data yang tidak dapat dijelaskan. Data yang hilang dan file yang rusak (terutama jika Anda tidak dapat memulihkannya) bisa jadi merupakan akibat dari serangan siber.

Cara melindungi diri dari serangan zero-day dan eksploitasi

Lalu, bagaimana cara melindungi diri dari ancaman yang tidak Anda ketahui? Terkadang, peretas memanfaatkan kerentanan zero-day bersamaan dengan metode serangan lain, seperti serangan rekayasa sosial. Berikut cara mengurangi risiko menjadi korban serangan zero-day:

• Segera update perangkat lunak Anda. Update perangkat lunak sering kali berisi patch untuk kerentanan kritis.
• Tetap ikuti perkembangan terkini. Basis data kerentanan dan program hadiah bug sangat penting dalam mendeteksi kelemahan pada perangkat lunak Anda.
• Waspadai penipuan phishing. Beberapa serangan zero-day hanya berhasil jika digabungkan dengan serangan lain. Jangan klik tautan atau lampiran email yang tidak dikenal — Anda bisa saja tanpa sengaja memberikan data sensitif kepada penjahat.

Pastikan Anda menggunakan VPN dan perangkat lunak antivirus untuk melindungi perangkat Anda dari potensi ancaman siber, seperti malware, yang dapat membuka celah keamanan pada sistem Anda. VPN akan membantu melindungi jaringan perusahaan Anda dan bahkan memblokir situs-situs phishing yang berpotensi berbahaya. Begini caranya:

• VPN melindungi jaringan perusahaan Anda. VPN mengenkripsi seluruh lalu lintas online untuk setiap perangkat yang terhubung ke jaringan Anda. Jika staf Anda menggunakan aplikasi pribadi yang tidak terenkripsi untuk mengirimkan informasi sensitif, informasi tersebut dapat dengan mudah disadap dan dicuri oleh penjahat siber. Pastikan karyawan Anda menyadari risiko keamanan dari split tunneling agar mereka tidak mengizinkan aplikasi mengakses internet secara langsung melalui perangkat kerja.
• VPN memblokir situs phishing. NordVPN dilengkapi dengan fitur Threat Protection Pro, yang memblokir situs berbahaya yang sarat malware. Fitur ini juga berfungsi untuk menghentikan iklan pop-up, yang terkenal sebagai penyebar spyware dan malware pencuri file lainnya. Threat Protection Pro memindai file yang Anda unduh dan mengidentifikasi file yang sarat malware.

Sebagian besar organisasi cenderung merespons insiden keamanan siber secara reaktif — yaitu menanggapi ancaman yang sudah diketahui sebelumnya. Namun, masalah dengan kerentanan zero-day adalah bahwa saat Anda menyadari apa yang terjadi, semuanya sudah terlambat.

Kunci perlindungan terhadap serangan zero-day adalah pendekatan proaktif. Deteksi, pemantauan data, dan pemantauan aktivitas merupakan beberapa langkah awal untuk menghindari serangan zero-day.