Dalam beberapa tahun terakhir, migrasi ke cloud telah menjadi bagian penting dari infrastruktur organisasi modern—memberikan skalabilitas, fleksibilitas, dan penghematan biaya. Namun seiring adopsi yang luas, muncul ancaman besar: penyalahgunaan kredensial cloud dan platform cloud seperti Amazon Web Services (AWS) menjadi sasaran utama bagi aktor jahat. Artikel dari Fortinet berjudul “Cloud Abuse at Scale” menggali kampanye besar yang menggunakan akses kredensial sah untuk mengeksploitasi layanan cloud—termasuk kampanye yang diberi nama TruffleNet. (Fortinet)
Artikel ini akan memaparkan temuan kunci, modus operandi aktor jahat, implikasi beserta langkah mitigasi yang perlu dilakukan oleh organisasi.
Latar Belakang
Menurut Fortinet, salah satu tantangan terbesar dalam keamanan cloud bukan sekadar firewall atau perimeter yang harus dijaga, tetapi akses identitas dan kredensial yang valid yang sering kali menjadi pintu masuk bagi pelaku ancaman.
Ketika kredensial yang tampak sah digunakan, kontrol keamanan tradisional bisa gagal mendeteksi aktivitas—karena secara teknis akses tersebut “legal”. Model ancaman ini semakin diperkuat oleh kampanye TruffleNet yang menggunakan ribuan host, scanning otomatis, dan layanan sah seperti AWS SES (Simple Email Service) untuk menjalankan aktivitas penipuan email skala besar.
Rincian Kampanye “TruffleNet”
Beberapa poin penting dari kampanye yang diungkap:
-
Aktor menggunakan tool open-source seperti TruffleHog untuk menguji kredensial yang dicuri. Dalam satu kasus, lebih dari 800 host unik di 57 jaringan kelas C digunakan sebagai bagian dari infrastruktur.
-
Aktivitas awal berupa panggilan AWS API seperti GetCallerIdentity dan GetSendQuota pada AWS SES — menunjukkan reconnaissance untuk mengetahui apakah kredensial valid dan apakah layanan email dapat disalahgunakan.
-
Lalu, aktor ini melakukan exploit yang lebih lanjut untuk menyetel identitas pengiriman email (misalnya via DKIM) menggunakan layanan AWS SES—dan digunakan kemudian untuk kampanye Business Email Compromise (BEC) yang menuntut pembayaran besar dari target imiti.
-
Infrastruktur menggunakan hosting AS yang tersebar—AS209372 (WS Telecom) dan AS61317 (Hivelocity) sebagai contohnya. Host-level konfigurasi menunjukkan port terbuka seperti 5432 dan 3389 yang tidak digunakan sebagaimana mestinya, menunjukkan bahwa host tersebut adalah bagian dari botnet/shell yang dikendalikan.
Implikasi Bagi Organisasi
Beberapa dampak dan pelajaran penting dari kampanye ini bagi organisasi:
-
Eksposur identitas & kredensial: Saat kredensial valid dicuri, pelaku bisa melewati banyak kontrol keamanan tradisional karena akses terlihat sah.
-
Layanan cloud sah bisa dijadikan senjata: AWS SES adalah platform sah tetapi bisa digunakan oleh penjahat sebagai platform pengiriman email penipuan massal—organisasi harus sadar bahwa layanan yang digunakan sehari-hari bisa disalahgunakan.
-
Skala dan otomatisasi ancaman meningkat: Dengan ribuan host dan scanning otomatis, pelaku bisa menjalankan campaign secara skala besar dengan modal relatif rendah.
-
Mengelola akses dan aktivitas pengguna menjadi kritikal: Perlu visibilitas pengguna, layanan yang digunakan, dan aktivitas API secara real-time untuk mendeteksi anomalous behaviour.
-
Tanggung jawab shared cloud security: Penyedia cloud memberikan infrastruktur, tetapi organisasi tetap bertanggung jawab terhadap konfigurasi layanan, IAM (Identity & Access Management), dan proteksi layanan atasannya.
Strategi Mitigasi
Untuk menghadapi ancaman seperti TruffleNet dan penyalahgunaan cloud pada skala besar, berikut beberapa strategi yang direkomendasikan:
-
Terapkan prinsip least privilege — batasi hak akses pengguna dan layanan hanya sesuai kebutuhan.
-
Aktifkan multi-factor authentication (MFA) untuk semua identitas, termasuk identitas layanan dan API key.
-
Monitor aktivitas API cloud: panggilan ke GetCallerIdentity, GetSendQuota, CreateEmailIdentity, dan lainnya yang mencurigakan harus diaudit.
-
Gunakan anomaly detection berbasis perilaku (behavioral analytics)—karena kredensial valid bisa dipakai oleh pelaku berbahaya, deteksi anomalous patterns sangat penting.
-
Potong pemakaian layanan yang berisiko tanpa kontrol: misalnya mengirim email massal dari cloud tidak termonitor.
-
Audit internal dan eksternal secara berkala: pastikan kontrol IAM, log aktivitas, dan konfigurasi layanan cloud sesuai dengan best practices.
Tabel Pendukung – Modus Operandi & Mitigasi
| Modus Operandi Pelaku | Deskripsi | Tindakan Mitigasi |
|---|---|---|
| Pencurian kredensial valid | Kredensial dicuri lalu dipakai untuk login cloud “secara sah” | Rotasi API keys, MFA, logging login eksternal, pembatasan IP |
| Pengujian kredensial & scanning AKS | Penggunaan tool seperti TruffleHog untuk menguji kredensial dan memetakan layanan AWS | Monitoring API usage, deteksi scanning & call abnormal |
| Penyalahgunaan layanan sah (AWS SES) | Layanan sah digunakan untuk BEC dan spam massal melalui domain DKIM palsu | Batasi penggunaan layanan, verifikasi domain & email identity |
| Infrastruktur botnet cloud | Ribuan host cloud tersebar digunakan sebagai infrastruktur command-and-control | Pantau aset tak terduga, identifikasi subnet cloud asing |
| Eksploitasi identitas layanan & IAM | Pelaku menciptakan user baru, mengubah profil, atau menggunakan user yang ada untuk eskalasi | Audit IAM-user, penerapan role-based access control |
Kesimpulan
Kampanye seperti TruffleNet menunjukkan bahwa ancaman terhadap cloud saat ini bukan hanya soal konfigurasi salah atau layanan terbuka—melainkan akses identitas valid yang disalahgunakan, dan layanan sah yang digunakan sebagai senjata oleh pelaku jahat. Hal ini menuntut pendekatan keamanan cloud yang berbasis identitas, visibilitas API, dan monitoring aktivitas secara real-time.
Organisasi yang menggunakan layanan cloud, terutama AWS atau layanan serupa, perlu segera mengevaluasi posture keamanan mereka: akses, layanan yang berjalan, aktivitas API, dan integritas identitas harus menjadi perhatian utama. Dengan menerapkan strategi mitigasi seperti least privilege, MFA, pemantauan aktivitas, dan analitik perilaku, Anda akan berada dalam posisi yang lebih baik untuk menghadapi ancaman penyalahgunaan cloud yang semakin skala besar.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Fortinet Indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi fortinet.ilogoindonesia.id untuk informasi lebih lanjut!