Hacker Rusia Gamaredon Targetkan 'Pemerintah Barat' di Ukraina

Cyberthreat.id - Kelompok penjahat dunia maya canggih yang berasal dari Rusia telah tertangkap mencoba menyerang lembaga pemerintah Barat yang berlokasi di Ukraina.

Pada saat ketegangan antara Rusia dan Ukraina meningga, dan para pemimpin dunia khawatir Rusia akan menyerang Ukraina, perang digital sedang berlangsung.

Dalam beberapa minggu terakhir, Ukraina telah menjadi sasaran perusakan berbagai situs web yang dikelola pemerintah.

Pusat Intelijen Ancaman Microsoft (MSTIC) telah memperingatkan bahwa malware destruktif digunakan dalam serangan terhadap organisasi Ukraina, dan Departemen Keuangan AS telah memberikan sanksi kepada warga negara Ukraina karena diduga mencoba membantu menciptakan "ketidakstabilan" menjelang invasi potensial.

Pusat Keamanan Siber Nasional Inggris (NCSC) juga mendesak organisasi untuk meningkatkan pertahanan mereka sehubungan dengan serangan siber baru-baru ini terhadap Ukraina.

Sekarang, para peneliti dari Palo Alto Networks telah menemukan aktivitas yang sedang berlangsung terhadap Ukraina yang dilakukan oleh Gamaredon/Primitive Bear, kelompok ancaman persisten lanjutan (APT) asal Rusia.

Tim mengatakan bahwa meskipun tidak ada bukti bahwa Primitive Bear bertanggung jawab atas salah satu serangan yang dipublikasikan baru-baru ini, sebagai "salah satu ancaman terus-menerus canggih yang paling aktif yang menargetkan Ukraina, kami mengantisipasi  aktivitas cyber berbahaya tambahan selama beberapa minggu mendatang saat konflik berkembang."

Sejak 2013, sebelum Rusia mencaplok Krimea, Gamaredon telah difokuskan pada serangan terhadap pejabat dan organisasi pemerintah Ukraina di negara itu.

Unit 42 Palo Alto telah melacak APT sejak itu dan sekarang telah memetakan tiga klaster yang digunakan dalam kampanye yang menautkan ke lebih dari 700 domain berbahaya, 215 alamat IP, dan perangkat berisi lebih dari 100 sampel malware.

Pada 19 Januari, Gamaredon mencoba menyerang jaringan "entitas pemerintah Barat" yang tidak disebutkan namanya di Ukraina.

Vektor serangan awal adalah salah satu yang menarik: daripada mengirim email phishing biasa, penyerang mencari daftar pekerjaan aktif di departemen dan mengunggah pengunduh berbahaya dalam resume.

“Mengingat langkah-langkah dan ketepatan penyampaian yang terlibat dalam kampanye ini, tampaknya ini mungkin merupakan upaya khusus dan disengaja oleh Primitive Bear/Gamaredon untuk berkompromi dengan organisasi pemerintah Barat ini,” catat para peneliti seperti diberitakan ZDnet, Jumat, 4 Februari 2022.

Ada juga bukti bahwa Gamaredon telah menargetkan Layanan Migrasi Negara Ukraina dengan email phishing.

Seperti diungkapkan oleh CERT Estonia, APT telah menggunakan makro berbahaya di lampiran template .dox/.dot untuk mengeksekusi malware penghapus di masa lalu.

“Karena ketegangan internasional seputar Ukraina tetap belum terselesaikan, operasi Gamaredon kemungkinan akan terus fokus pada kepentingan Rusia di kawasan itu,” kata Palo Alto.

"Meskipun kami telah memetakan tiga kelompok besar infrastruktur Gamaredon yang aktif saat ini, kami yakin masih ada lagi yang belum ditemukan."[]