Microsoft menghubungkan militer Rusia dengan serangan siber di Polandia dan Ukraina

Microsoft pada hari Kamis menunjuk badan intelijen militer Rusia sebagai kemungkinan penyebab di balik serangan ransomware bulan lalu yang menargetkan organisasi transportasi dan logistik Polandia dan Ukraina.

Jika penilaian oleh anggota Pusat Intelijen Ancaman Keamanan Microsoft (MSTIC) benar, hal itu dapat menimbulkan kekhawatiran bagi pemerintah AS dan mitranya di Eropa. Polandia adalah anggota NATO dan pendukung setia Ukraina dalam upayanya untuk mencegah invasi Rusia tanpa alasan.

hacker

Grup peretasan perusahaan perangkat lunak yang terkait dengan serangan dunia maya — dikenal sebagai Sandworm di kalangan penelitian yang lebih luas dan Iridium di Redmond, Washington — adalah salah satu yang paling berbakat dan destruktif di dunia dan diyakini secara luas didukung oleh badan intelijen militer GRU Rusia.

Cacing pasir secara pasti dikaitkan dengan serangan penghapus NotPetya pada tahun 2017, wabah global yang menurut penilaian Gedung Putih menyebabkan kerusakan $10 miliar, menjadikannya peretasan paling mahal dalam sejarah. Cacing pasir juga secara pasti terkait dengan peretasan pada jaringan listrik Ukraina yang menyebabkan pemadaman yang meluas selama bulan-bulan terdingin tahun 2016 dan lagi pada tahun 2017.

Masukkan Prestise

Bulan lalu, Microsoft mengatakan bahwa organisasi transportasi dan logistik Polandia dan Ukraina telah menjadi target serangan siber yang menggunakan ransomware yang belum pernah dilihat sebelumnya yang mengumumkan dirinya sebagai Prestige. Pelaku ancaman, kata Microsoft, telah menguasai jaringan korban. Kemudian dalam satu jam pada 11 Oktober, para peretas menyebarkan Prestige ke semua korbannya.

Begitu berada di tempat, ransomware melintasi semua file di sistem komputer yang terinfeksi dan mengenkripsi konten file yang diakhiri dengan .txt, .png, gpg, dan lebih dari 200 ekstensi lainnya. Prestige kemudian menambahkan ekstensi .enc ke ekstensi file yang ada. Microsoft mengaitkan serangan itu dengan kelompok ancaman tak dikenal yang dijuluki DEV-0960.

Pada hari Kamis, Microsoft memperbarui laporan untuk mengatakan bahwa berdasarkan artefak forensik dan tumpang tindih dalam viktimologi, perdagangan, kemampuan, dan infrastruktur, para peneliti menentukan DEV-0960 kemungkinan besar adalah Iridium.

“Kampanye Prestige dapat menyoroti perubahan terukur dalam kalkulus serangan destruktif Iridium, menandakan peningkatan risiko bagi organisasi yang secara langsung memasok atau mengangkut bantuan kemanusiaan atau militer ke Ukraina,” tulis anggota MSTIC. “Lebih luas lagi, ini mungkin menunjukkan peningkatan risiko bagi organisasi di Eropa Timur yang mungkin dianggap oleh negara Rusia memberikan dukungan terkait perang.”

Pembaruan Kamis melanjutkan dengan mengatakan bahwa kampanye Prestige berbeda dari serangan destruktif dalam dua minggu terakhir yang menggunakan malware yang dilacak sebagai AprilAxe (ArguePatch)/CaddyWiper atau Foxblade (HermeticWiper) untuk menargetkan beberapa infrastruktur penting di Ukraina. Sementara para peneliti mengatakan mereka masih belum tahu kelompok ancaman apa yang ada di balik tindakan tersebut, mereka sekarang memiliki cukup bukti untuk menunjuk Iridium sebagai kelompok di balik serangan Prestige. Microsoft sedang dalam proses memberi tahu pelanggan yang telah “terkena dampak Iridium tetapi belum ditebus,” tulis mereka.

Menggarisbawahi kecanggihan serangan, anggota Iridium menggunakan berbagai metode untuk menerapkan Prestige di jaringan yang ditargetkan. Mereka termasuk:

“Sebagian besar operator ransomware mengembangkan seperangkat tradecraft pilihan untuk penyebaran dan eksekusi muatan mereka, dan tradecraft ini cenderung konsisten di seluruh korban, kecuali jika konfigurasi keamanan mencegah metode pilihan mereka,” anggota MSTIC menjelaskan. “Untuk aktivitas Iridium ini, metode yang digunakan untuk menyebarkan ransomware bervariasi di seluruh lingkungan korban, tetapi tampaknya bukan karena konfigurasi keamanan yang mencegah penyerang menggunakan teknik yang sama. Ini sangat penting karena penyebaran ransomware semuanya terjadi dalam waktu satu jam.”

Postingan tersebut berisi indikator teknis yang dapat membantu orang mengetahui apakah mereka telah menjadi target

Sumber : 

Baca Juga :