Ini Temuan Symantec Soal Taktik Spionase Dunia Maya Kelompok Terkait Rusia di Ukraina
Ilustrasi vis Cyware
Cyberthreat.id - Para peneliti di Symantec mengatakan mereka telah mengidentifikasi taktik khusus yang digunakan oleh operasi peretasan terkait Rusia yang menargetkan pemerintah Ukraina pada November tahun lalu.
Kelompok spionase dunia maya, yang biasa diberi label sebagai Gamaredon atau Armageddon, dikenal menggunakan email phishing untuk mencoba memasang alat akses jarak jauh di komputer korban, dengan tujuan mengekstrak data.
Tim Pemburu Ancaman Symantec dalam postingan blog yang diterbitkan Senin menjelaskan bagaimana mata-mata menggunakan lampiran Microsoft Word yang terinfeksi pada pertengahan 2021 untuk menanamkan file backdoor yang memungkinkan pengiriman lebih banyak malware.
Para peneliti tidak merinci siapa yang menjadi sasaran dalam studi kasus mereka. Tujuannya adalah untuk menyoroti taktik, teknik dan prosedur (TTP) yang dimaksud, terutama jika konflik Rusia-Ukraina memuncak dalam beberapa minggu mendatang, kata mereka.
“Kami tidak berharap untuk melihat kemunculan kembali taktik, teknik, dan prosedur ini sebelum atau selama konflik aktif,” kata tim tersebut seperti dilansir CyberScoop, Senin, 31 Januari 2022.
Ketika ketegangan antara Ukraina dan Rusia meningkat pada akhir 2021, Layanan Keamanan Ukraina (SSU) menerbitkan analisis terperinci yang menghubungkan Gamaredon dengan Layanan Keamanan Federal (FSB) Rusia, termasuk rekaman peretas yang membahas serangan secara real-time.
Studi kasus Symantec melacak infeksi pada 14 Juli 2021, yang memasang pintu belakang yang dikenal sebagai Pterodo. Setelah itu, penyerang melanjutkan “untuk menginstal varian pintu belakang mereka dan menjalankan perintah melalui skrip.” Dalam dua minggu, Gamaredon memasang "dropper" yang mengunduh file komputasi jaringan virtual (VNC), yang tampaknya menjadi "muatan utama serangan ini," kata para peneliti.
File VNC memungkinkan penyerang untuk melihat-lihat mesin yang disusupi dan berpotensi mengekstrak informasi mulai dari "deskripsi pekerjaan hingga informasi sensitif yang berkaitan dengan organisasi yang ditargetkan," kata para peneliti.
Tim Symantec mencatat bahwa hampir semua file berbahaya yang dicurigai dimulai dengan huruf "d," seperti deceive.exe, decide.exe, decipher.exe, deep-sunken.exe dan deep-vaulted.exe.
Server perintah dan kontrol untuk malware “termasuk dalam daftar pendek penyedia hosting yang tercantum dalam laporan SSU,” kata para peneliti.
Pemburu ancaman siber mengatakan Gamaredon telah aktif setidaknya sejak 2013. Symantec, sebuah divisi dari Broadcom Software, menyebut kelompok peretas itu sebagai Shuckworm.
Laporan terbaru tentang aktivitas siber Rusia yang diklaim terhadap Ukraina termasuk perusakan situs web pemerintah Ukraina, dan malware yang menghapus lusinan sistem komputer pemerintah di sana. Upaya diplomatik untuk mengurangi ketegangan diperkirakan akan berlanjut Senin, karena Rusia mengerahkan pasukan militer di perbatasan Ukraina.[]
