Sebuah kelompok peretasan yang didukung pemerintah Rusia menargetkan militer Ukraina menggunakan alat dan infrastruktur yang dikembangkan oleh penjahat dunia maya, menurut penelitian baru.
Pada hari Rabu, Microsoft menerbitkan laporan merinci kampanye peretasan yang dilakukan oleh kelompok yang disebut Secret Blizzard, yang merupakan Badan Keamanan Siber dan Infrastruktur AS (CISA) dikatakan sebelumnya “hampir pasti berada di bawah Pusat Layanan Keamanan Federal Rusia (FSB) 18,” dan yang oleh perusahaan keamanan lain disebut sebagai Menara.
Peneliti Microsoft menulis dalam laporan tersebut, yang dibagikan kepada TechCrunch sebelum dipublikasikan, bahwa Secret Blizzard menggunakan botnet yang dikenal sebagai Amadey, yang diduga dijual di forum peretasan Rusia dan dikembangkan oleh kelompok penjahat dunia maya, untuk mencoba membobol “perangkat yang terkait dengan militer Ukraina” antara bulan Maret dan April tahun ini. Meskipun mengakui bahwa mereka masih menyelidiki bagaimana Secret Blizzard mendapatkan akses ke Amadey, perusahaan tersebut berpendapat bahwa kelompok peretas tersebut menggunakan botnet dengan membayarnya sebagai malware sebagai layanan, atau meretasnya.
“Secret Blizzard telah menggunakan pijakan dari pihak ketiga – baik dengan mencuri atau membeli akses secara diam-diam – sebagai metode yang spesifik dan disengaja untuk membangun pijakan nilai spionase,” menurut laporan tersebut, merujuk pada botnet Amadey sebagai salah satu pihak ketiga tersebut.
Salah satu tujuan peretas adalah menghindari deteksi. Sherrod DeGrippo, direktur strategi intelijen ancaman Microsoft, mengatakan kepada TechCrunch bahwa “menggunakan alat komoditas memungkinkan pelaku ancaman menyembunyikan asal usulnya dan mempersulit atribusi.”
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang peretas Rusia yang menargetkan Ukraina? Atau operasi spionase dunia maya lainnya? Dari perangkat yang tidak berfungsi, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecureDrop.
Botnet Amadey biasanya digunakan oleh penjahat dunia maya untuk menginstal cryptominer, menurut laporan tersebut. Microsoft yakin bahwa peretas di balik Amadey dan peretas Secret Blizzard berbeda, kata DeGrippo.
Dalam kampanye ini, Secret Blizzard menargetkan komputer yang terkait dengan Angkatan Darat Ukraina dan Penjaga Perbatasan Ukraina, kata DeGrippo kepada TechCrunch. Microsoft mengatakan serangan siber baru-baru ini adalah “setidaknya yang kedua kalinya sejak tahun 2022 Secret Blizzard menggunakan kampanye kejahatan siber untuk memfasilitasi malware miliknya di Ukraina.”
Secret Blizzard diketahui menargetkan “kementerian luar negeri, kedutaan besar, kantor pemerintah, departemen pertahanan, dan perusahaan terkait pertahanan di seluruh dunia” dengan fokus pada spionase jangka panjang dan pengumpulan intelijen, menurut laporan Microsoft.
Dalam kasus ini, sampel malware Secret Blizzard yang dianalisis Microsoft dirancang untuk mengumpulkan informasi tentang sistem korban — seperti nama perangkat dan perangkat lunak antivirus apa, jika ada, yang diinstal — sebagai langkah pertama untuk kemudian menyebarkan malware dan alat lainnya.
Menurut peneliti Microsoft, Secret Blizzard menyebarkan malware ini pada perangkat untuk menentukan apakah targetnya “lebih menarik.” Misalnya, Secret Blizzard menargetkan perangkat yang menggunakan Starlink, layanan satelit SpaceX, yang telah digunakan oleh militer Ukraina dalam operasi mereka melawan invasi pasukan Rusia.
DeGrippo mengatakan bahwa perusahaan yakin bahwa kampanye peretasan ini dilakukan oleh Secret Blizzard sebagian karena para peretas menggunakan pintu belakang khusus yang disebut Tavdig dan KazuarV2, “belum pernah terlihat digunakan oleh kelompok lain.”
Minggu lalu, Microsoft dan perusahaan keamanan Lab Teratai Hitam menerbitkan laporan yang menunjukkan bagaimana Secret Blizzard telah mengkooptasi alat dan infrastruktur kelompok peretas negara lain untuk kegiatan spionasenya sejak tahun 2022. Dalam kasus tersebut, menurut penelitian kedua perusahaan, Secret Blizzard mendukung peretasan yang berbasis di Pakistan kelompok tersebut ke sasaran militer dan intelijen di Afghanistan dan India. Pada saat itu, Microsoft mencatat bahwa Secret Blizzard telah menggunakan teknik ini untuk memanfaatkan alat dan infrastruktur peretas lain sejak tahun 2017, antara lain dalam kasus yang melibatkan peretas pemerintah Iran dan kelompok peretas Kazakhstan.
Kedutaan Besar Rusia di Washington, DC, dan FSB tidak menanggapi permintaan komentar.
