Peretas yang Disponsori Negara Rusia Alihkan Target setelah AS Terbitkan Seruan Bersama
Ilustrasi via Teiss.co.uk
Cyberthreat.id – Peretas yang disponsori negara Rusia, telah mengalihkan target serangan setelah sejumlah lembaga Amerika Serikat menerbitkan seruan bersama (joint advisories) yang menginformasikan tentang taktik, alat, teknik, dan cara menghadapi serangan oleh Dinas Intelijen Asing Rusia (SVR) yang sedang berlangsung
Dikutip dari Bleeping Computer yang diakses Sabtu (7 Mei 2021), perubahan itu dilakukan setelah pemerintah AS dan Inggris secara resmi mengaitkan serangan rantai pasokan SolarWinds dan pengembang vaksin COVID-19 sebagai upaya spionase dunia maya oleh operator SVR (alias APT29, Cozy Bear, dan The Dukes) Rusia pada 15 April.
Pada hari yang sama NSA, CISA, dan FBI memberi tahu organisasi dan penyedia layanan tentang lima kerentanan teratas yang dieksploitasi dalam serangan SVR terhadap kepentingan AS. Dalam nasihat bersama ketiga yang dikeluarkan pada 26 April, FBI, DHS, dan CIA memperingatkan serangan lanjutan yang dikoordinasikan oleh SVR Rusia terhadap AS dan organisasi asing.
Agen federal AS menunjukkan bahwa operator SVR biasanya menggunakan penyemprotan kata sandi, mengeksploitasi kerentanan CVE-2019-19781 untuk mendapatkan akses jaringan, dan menyebarkan malware WELLMESS pada sistem yang disusupi.
Berkaitan dengan pemberitahuan tersebut, para peretas yang disponsori Rusia mulai memindai server Microsoft Exchange yang terkena serangan ProxyLogon yang menargetkan CVE-2021-26855. Seperti yang diamati oleh lembaga keamanan siber AS dan Inggris, SVR Rusia mengeksploitasi berbagai kerentanan tetapi tidak terbatas pada:
- CVE-2018-13379 FortiGate
- CVE-2019-1653 Router Cisco
- CVE-2019-2725 Server Oracle WebLogic
- CVE-2019-9670 Zimbra
- CVE-2019-11510 Pulse Secure
- CVE-2019-19781 Citrix
- CVE-2019-7609 Kibana
- CVE-2020-4006 VMWare
- CVE-2020-5902 F5 Big-IP
- CVE-2020-14882 Oracle WebLogic
- CVE-2021-21972 VMWare vSphere
Dalam nasihat bersama itu, terungkap jika SVR menargetkan organisasi yang selaras dengan kepentingan intelijen luar negeri Rusia, termasuk target pemerintah, think-tank, kebijakan dan energi, serta lebih banyak penargetan yang terikat waktu, misalnya, penargetan vaksin COVID-19 pada tahun 2020.
Untuk itu, Network Defender diperingatkan untuk menambal sistem secepat mungkin agar sesuai dengan kecepatan SVR Rusia yang telah mengubah target. Selain itu mereka juga harus harus memastikan bahwa patch keamanan diterapkan segera setelah pengumuman CVE untuk produk yang di kelola.
“Operator siber SVR tampaknya telah bereaksi dengan mengubah TTP mereka dalam upaya untuk menghindari deteksi lebih lanjut dan upaya remediasi oleh pembela jaringan.”
Lembaga pemerintah dan organisasi swasta yang berisiko juga didesak untuk mengikuti saran dan panduan mitigasi yang dibagikan dalam nasihat bersama, serta menggunakan aturan deteksi Snort dan YARA di lampiran untuk mendeteksi dan melindungi dari aktivitas SVR Rusia yang sedang berlangsung.
Melalui pengelolaan dan penerapan pembaruan keamanan secepat mungkin akan membantu mengurangi permukaan serangan yang tersedia untuk aktor SVR, dan memaksa mereka untuk menggunakan alat ekuitas yang lebih tinggi untuk mendapatkan akses di jaringan.
Dengan menerapkan kontrol keamanan jaringan yang baik dan secara efektif mengelola hak pengguna, organisasi akan membantu mencegah perpindahan lateral antar host. Ini akan membantu membatasi keefektifan bahkan serangan yang kompleks.
Mendeteksi serangan rantai pasokan, seperti kompromi Mimecast, memang sulit, sehingga organisasi dapat mendeteksi aktivitas semacam ini melalui metodologi deteksi heuristik seperti volume email yang sedang diakses atau dengan mengidentifikasi lalu lintas IP yang tidak normal. Organisasi harus memastikan logging yang memadai (baik cloud maupun on-premises) diaktifkan dan disimpan selama jangka waktu yang sesuai untuk mengidentifikasi akun dan materi yang disusupi, dan infrastruktur aktor.
“Gunakan tindakan audit kotak surat Microsoft yang disebut MailItemsAccessed untuk menyelidiki penyusupan akun email dan mengidentifikasi email yang diakses oleh pengguna. Hal ini memberikan pertahanan forensik organisasi untuk membantu menegaskan bagian email mana yang diakses secara jahat atau tidak oleh penyerang.”[]
Editor: Yuswardi A. Suud
