Microsoft Identifikasi Peretas yang Diduga Disponsori Rusia
Microsoft mengamati serangan dari Nobelium yang menarketkan entitas di 24 negara.
REPUBLIKA.CO.ID, WASHINGTON— Microsoft telah memperingatkan aktor di balik peretasan besar-besaran SolarWinds yang diidentifikasi tahun lalu. Peretasan ini menargetkan lembaga pemerintah, LSM, wadah pemikir dan konsultan negara.
Dilansir dari Computing, Ahad (30/5), para peneliti di Microsoft Threat Intelligence Center (MSTIC) baru-baru ini mengamati gelombang baru serangan dunia maya dari kelompok Nobelium. Nobelium (juga dikenal sebagai UNC2452, Dark Halo, SolarStorm dan StellarParticle) diyakini sebagai kelompok ancaman yang diduga disponsori pemerintah Rusia.
Pelaku ancaman membajak sistem surat elektronik yang digunakan oleh Badan Pembangunan Internasional Amerika Serikat (USAID). Peretas kemudian memanfaatkannya untuk melancarkan serangan phishing ke organisasi lain. Setelah mendapatkan akses ke akun Kontak Konstan USAID, penyerang mengirim pesan phishing yang terlihat benar-benar asli.
Pesan tersebut juga berisi tautan, yang ketika diklik oleh penerima akan mengunduh dokumen berbahaya yang digunakan untuk mendistribusikan pintu belakang NativeZone.
Sekitar 3.000 akun email di lebih dari 150 organisasi berbeda menjadi sasaran serangan terbaru dari Nobelium. Entitas di setidaknya 24 negara menjadi sasaran, meskipun sebagian besar organisasi AS sering terkena serangan, menurut Microsoft.
“Kami sebelumnya telah mengungkapkan aktivitas Strontium dan aktor lain yang menargetkan pemilihan besar di AS dan di tempat lain,” kata
Tom Burt, wakil presiden perusahaan Microsoft untuk keamanan pelanggan.
“Ini adalah salah satu lagi contoh bagaimana serangan dunia maya telah menjadi alat pilihan bagi semakin banyak negara bangsa untuk mencapai berbagai tujuan politik, dengan fokus serangan oleh Nobelium ini pada hak asasi manusia dan organisasi kemanusian,” ujarnya lagi.
Burt menambahkan, pihaknya akan memberi tahu semua pelanggan yang menjadi sasaran pelaku ancaman.
Gelombang baru serangan dari Nobelium tampaknya merupakan kelanjutan dari upaya pengumpulan intelijen oleh para pelaku ancaman Rusia. Peretasan besar-besaran SolarWinds yang menargetkan organisasi AS terungkap pada Desember tahun lalu, setelah Departemen Keuangan AS dan Administrasi Informasi dan Telekomunikasi Nasional (NTIA) Departemen Perdagangan AS ditemukan telah disusupi dalam kampanye dunia maya besar-besaran.
Setidaknya sembilan agen federal dan lusinan perusahaan swasta diretas dalam serangan ini.
Firma keamanan dunia maya FireEye mengungkapkan bahwa penyerang melancarkan serangan setelah membahayakan perangkat lunak pemantau jaringan SolarWinds, Orion, mereka memasukkan kode berbahaya ke dalam pembaruan perangkat lunak yang sah untuk perangkat lunak Orion yang memungkinkan mereka mengakses dari jarak jauh ke lingkungan korban.
Microsoft mengatakan bahwa para peretas dapat mengakses beberapa kode sumbernya, meskipun mereka tidak dapat membuat perubahan apapun padanya.
Pembuat peralatan jaringan Cisco juga mengatakan bahwa hampir dua lusin sistem komputer yang digunakan oleh peneliti Cisco di lab perusahaan telah disusupi melalui malware terkait SolarWinds. Bulan lalu, Departemen Keuangan AS memberi sanksi kepada enam perusahaan teknologi Rusia karena membantu peretas pemerintah yang terlibat dalam serangan dunia maya yang berbahaya dan mengganggu.
Departemen tersebut mengatakan bahwa perusahaan yang terkena sanksi sedang mengembangkan infrastruktur dan peralatan, memberikan keahlian dan melakukan aktivitas dunia maya yang berbahaya atas nama Kremlin Intelligence Services. AS juga secara resmi menyebut SVR Rusia, penerus KGB Soviet sebagai di balik serangan SolarWinds.