banner large

Kampanye peretasan pro-Rusia merajalela di Ukraina

Comment
X
Share
Kampanye peretasan pro-Rusia merajalela di Ukraina

Gambar Getty

Pelaku ancaman pro-Rusia melanjutkan pengejaran tanpa henti mereka terhadap target Ukraina, dengan serangkaian kampanye yang mencakup aplikasi Android palsu, serangan peretasan yang mengeksploitasi kerentanan kritis, dan serangan phishing email yang mencoba mengambil kredensial login, kata peneliti dari Google.

Salah satu kampanye baru-baru ini datang dari Turla, aktor ancaman gigih tingkat lanjut berbahasa Rusia yang telah aktif setidaknya sejak 1997 dan merupakan salah satu yang paling canggih secara teknis di dunia. Menurut Google, kelompok tersebut menargetkan sukarelawan pro-Ukraina dengan aplikasi Android yang berperan sebagai landasan peluncuran untuk melakukan serangan penolakan layanan terhadap situs web Rusia.

Google

“Yang perlu Anda lakukan untuk meluncurkan prosesnya adalah menginstal aplikasi, membukanya dan tekan mulai,” klaim situs palsu yang mempromosikan aplikasi tersebut. “Aplikasi segera mulai mengirim permintaan ke situs web Rusia untuk membanjiri sumber daya mereka dan menyebabkan penolakan layanan.”

Faktanya, seorang peneliti dari grup analisis ancaman Google mengatakan, aplikasi mengirimkan satu permintaan GET ke situs web target. Di balik layar, peneliti Google yang berbeda mengatakan kepada Vice bahwa aplikasi tersebut dirancang untuk memetakan infrastruktur Internet pengguna dan “mencari tahu di mana orang-orang yang berpotensi melakukan serangan semacam ini.”

Aplikasi, yang dihosting di domain spoofing Resimen Azov Ukraina, meniru aplikasi Android lain yang pertama kali dilihat Google pada bulan Maret yang juga mengklaim melakukan serangan DoS terhadap situs Rusia. Tidak seperti aplikasi Turla, stopwar.apk, seperti nama aplikasi yang terakhir, mengirimkan aliran permintaan terus-menerus hingga pengguna menghentikannya.

Google

“Berdasarkan analisis kami, kami percaya bahwa aplikasi StopWar dikembangkan oleh pengembang pro-Ukraina dan menjadi inspirasi bagi aktor Turla yang mendasari aplikasi CyberAzov DoS palsu mereka,” tulis peneliti Google Billy Leonard.

Kelompok peretas lain yang disponsori oleh Kremlin juga menargetkan kelompok Ukraina. Kampanye termasuk eksploitasi Follina, nama yang diberikan untuk kerentanan kritis di semua versi Windows yang didukung yang secara aktif ditargetkan di alam liar selama lebih dari dua bulan sebagai zero-day.

Peneliti Google mengkonfirmasi laporan CERT-UA dari bulan Juni yang mengatakan kelompok peretasan berbeda yang disponsori Kremlin — dilacak dengan berbagai nama termasuk Fancy Bear, yang dikenal sebagai Pawn Storm, Sofacy Group, dan APT28 — juga mengeksploitasi Follina dalam upaya untuk menginfeksi target dengan malware yang dikenal sebagai CredoMap. Selain itu, Google mengatakan bahwa Sandworm—kelompok lain yang disponsori oleh pemerintah Rusia—juga mengeksploitasi Follina. Kampanye itu menggunakan akun pemerintah yang disusupi untuk mengirim tautan ke dokumen Microsoft Office yang dihosting di domain yang disusupi, terutama menargetkan organisasi media di Ukraina.

CERT-UA

Perusahaan keamanan Palo Alto Networks, sementara itu, melaporkan pada hari Selasa bahwa kelompok peretasan Cloaked Ursa Rusia (juga dikenal sebagai APT29, Nobelium, dan Cozy Bear) juga telah meningkatkan serangan malware sejak dimulainya invasi Rusia ke Ukraina, sebagian dengan membuat file berbahaya. untuk diunduh tersedia di Dropbox dan Google Drive. Badan intelijen AS dan Inggris secara terbuka mengaitkan APT29 dengan Badan Intelijen Asing (SVR) Rusia.

“Ini sejalan dengan fokus penargetan bersejarah grup, sejak kampanye malware melawan Chechnya dan negara-negara bekas blok Soviet lainnya pada 2008,” tulis peneliti Palo Alto Networks, Mike Harbison dan Peter Renals. Baru-baru ini, APT29 telah dikaitkan dengan peretasan Komite Nasional Demokrat AS yang ditemukan pada tahun 2016 dan serangan rantai pasokan SolarWindows dari tahun 2020.

Tidak semua kelompok ancaman yang menargetkan Ukraina disponsori Kremlin, kata Google. Baru-baru ini, seorang aktor bermotivasi finansial yang dilacak sebagai UAC-0098 menyamar sebagai Layanan Pajak Negara Ukraina dan mengirimkan dokumen jahat yang berusaha mengeksploitasi Follina. Google mengatakan aktor tersebut adalah mantan broker akses ransomware awal yang sebelumnya bekerja dengan grup ransomware Conti.

Pada hari Rabu, Komando Siber AS membagikan perincian teknis terkait dengan apa yang dikatakan badan tersebut sebagai beberapa jenis malware yang menargetkan entitas Ukraina dalam beberapa bulan terakhir. Sampel malware tersedia di VirusTotal, Pastebin, dan GitHub. Perusahaan keamanan Mandiant mengatakan dua kelompok spionase terpisah menggunakan malware, satu dilacak sebagai UNC1151 dan dikaitkan oleh Mandiant dengan pemerintah Belarusia dan yang lainnya dilacak sebagai UNC2589, yang menurut perusahaan itu “diyakini bertindak mendukung kepentingan pemerintah Rusia dan telah melakukan koleksi spionase ekstensif di Ukraina.”

Uni Eropa juga memanggil pemerintah Rusia minggu ini, mencatat bahwa kampanye penolakan layanan terdistribusi baru-baru ini hanyalah contoh terbaru dari serangan siber yang diluncurkan sejak invasinya.

“Agresi militer Rusia yang tidak beralasan dan tidak dapat dibenarkan terhadap Ukraina telah disertai dengan peningkatan signifikan aktivitas siber berbahaya, termasuk sejumlah peretas dan kelompok peretas yang menyerang dan mengkhawatirkan tanpa pandang bulu yang menargetkan entitas penting secara global,” tulis pejabat Uni Eropa. “Peningkatan aktivitas siber berbahaya ini, dalam konteks perang melawan Ukraina, menciptakan risiko efek limpahan, salah tafsir, dan kemungkinan eskalasi yang tidak dapat diterima.”

Leave a Reply

Your email address will not be published.