Hacker Rusia Targetkan Pemasok Senjata dan Perangkat Keras Militer AS

Cyberthreat.id – Grup peretasan yang disponsori negara dengan tautan ke Rusia telah dikaitkan dengan penyerangan infrastruktur yang memalsukan halaman login Microsoft dari Global Ordnance, pemasok senjata dan perangkat keras militer yang berbasis di AS.

Recorded Future mengaitkan infrastruktur baru ini dengan kelompok aktivitas ancaman yang dilacaknya dengan nama TAG-53, dan dikenal luas oleh komunitas keamanan siber sebagai Blue Callisto, Callisto, COLDRIVER, SEABORGIUM, dan TA446.

"Berdasarkan laporan publik historis tentang kampanye TAG-53 yang tumpang tindih, kemungkinan aktivitas pengambilan kredensial ini diaktifkan sebagian melalui phishing," kata Insikt Group dari Recorded Future dalam laporan yang diterbitkan minggu ini, seperti dikutip The Hacker News, Kamis (8/12).

Perusahaan cybersecurity mengatakan menemukan 38 domain, sembilan di antaranya berisi referensi ke perusahaan seperti UMO Poland, Sangrail LTD, DTGruelle, Blue Sky Network, Komisi Keadilan dan Akuntabilitas Internasional (CIJA), dan Kementerian Dalam Negeri Rusia.

Diduga bahwa domain bertema kemungkinan merupakan upaya pihak musuh untuk menyamar sebagai pihak otentik dalam kampanye rekayasa sosial.

“Terutama, tren yang konsisten telah muncul terkait penggunaan infrastruktur yang dirancang khusus oleh TAG-53 yang menyoroti penggunaan teknik serupa dalam jangka panjang untuk kampanye strategis mereka,” kata para peneliti.

Perkembangan tersebut terjadi hampir empat bulan setelah Microsoft mengungkapkan bahwa mereka mengambil langkah-langkah untuk menghentikan serangan phishing dan pencurian kredensial yang dilakukan oleh grup tersebut dengan tujuan untuk menerobos perusahaan konsultan pertahanan dan intelijen serta LSM, wadah pemikir, dan entitas pendidikan tinggi di Inggris Raya dan Amerika Serikat.

Perusahaan keamanan perusahaan, Proofpoint, selanjutnya memanggil grup tersebut karena taktik peniruan identitasnya yang canggih untuk mengirimkan tautan phishing nakal.

Selain itu, pelaku ancaman telah dikaitkan dengan rendahnya kepercayaan terhadap operasi spear-phishing yang menargetkan Kementerian Pertahanan Ukraina, yang bertepatan dengan dimulainya invasi militer Rusia ke negara tersebut awal Maret ini.

SEKOIA.IO, dalam tulisan terpisah, menguatkan temuan tersebut, mengungkap total 87 domain, dengan dua di antaranya menyinggung perusahaan sektor swasta Emcompass dan BotGuard. Juga ditargetkan empat LSM yang terlibat dalam bantuan krisis Ukraina.

Salah satu serangan tersebut melibatkan komunikasi email antara LSM dan penyerang menggunakan alamat email palsu yang meniru sumber tepercaya, diikuti dengan mengirimkan PDF berbahaya yang berisi tautan phishing dalam upaya menghindari deteksi dari gerbang email.

"Pertukaran email menunjukkan bahwa penyerang tidak memasukkan muatan jahat di email pertama, tetapi menunggu untuk mendapatkan jawaban untuk membangun hubungan dan menghindari kecurigaan sebelum mengirim muatan ke korban," jelas perusahaan keamanan siber.

Penggunaan domain kementerian Rusia yang salah ketik semakin menambah bobot penilaian Microsoft bahwa SEABORGIUM menargetkan mantan pejabat intelijen, pakar urusan Rusia, dan warga negara Rusia di luar negeri.

SEKOIA.IO juga mencirikan penargetan CIJA sebagai misi pengumpulan intelijen yang dirancang untuk mengumpulkan "bukti terkait kejahatan perang dan/atau prosedur peradilan internasional, kemungkinan untuk mengantisipasi dan membangun narasi tandingan atas tuduhan di masa mendatang."

Pengungkapan tiba ketika firma intelijen ancaman Lupovis mengungkapkan bahwa aktor ancaman Rusia telah mengkompromikan lingkungan TI milik beberapa perusahaan di Inggris, AS, Prancis, Brasil, Afrika Selatan, dan "mengalihkan rute melalui jaringan mereka" untuk meluncurkan serangan terhadap Ukraina.

Microsoft, sementara itu, telah memperingatkan "potensi serangan Rusia di domain digital selama musim dingin ini," menunjukkan "pendekatan teknologi hibrida multi-cabang" Moskow dalam melakukan serangan dunia maya terhadap infrastruktur sipil dan mempengaruhi operasi yang ingin memicu perselisihan. di Eropa.