File Perang Rusia-Ukraina Menjadi Umpan Pilihan untuk Para Peretas

Semakin banyak pelaku ancaman yang memanfaatkan perang Rusia-Ukraina yang sedang berlangsung sebagai umpan dalam berbagai serangan phishing dan malware, bahkan ketika instansi infrastruktur penting terus menjadi sasaran utama.

"Aktor yang didukung pemerintah dari China, Iran, Korea Utara, dan Rusia, serta berbagai kelompok yang tidak terkait, telah menggunakan berbagai tema terkait perang Ukraina dalam upaya mendapatkan target untuk membuka email jahat atau mengklik tautan jahat," kata Billy Leonard Google Threat Analysis Group (TAG) dalam sebuah laporan.

"Aktor yang didorong oleh keuangan dan kriminal juga menargetkan orang-orang dengan mengeksploitasi peristiwa terkini," kata Leonard.

Curious Gorge, aktor ancaman yang terkait dengan People's Liberation Army Strategic Support Force China (PLA SSF), telah terlihat menyerang instansi pemerintah, militer, logistik, dan manufaktur di Ukraina, Rusia, dan Asia Tengah.

Serangan terhadap Rusia telah menargetkan banyak instansi pemerintah, termasuk Kementerian Luar Negeri, dengan pelanggaran lain yang mempengaruhi kontraktor dan produsen pertahanan Rusia, serta perusahaan logistik yang tidak disebutkan namanya.

Penemuan ini muncul setelah adanya laporan bahwa aktor ancaman yang disponsori pemerintah China yang dikenal sebagai Mustang Panda (alias Bronze President) menargetkan pejabat pemerintah Rusia dengan versi terbaru dari remote access trojan yang dikenal sebagai PlugX.

Serangkaian serangan phishing lainnya melibatkan peretas APT28 (alias Fancy Bear) menargetkan pengguna Ukraina dengan malware .NET yang mampu mengumpulkan cookie dan kata sandi dari browser Chrome, Edge, dan Firefox.

Kelompok ancaman yang berbasis di Rusia seperti Turla (alias Venomous Bear) dan COLDRIVER (alias Callisto), serta kru peretas Belarusia yang dikenal sebagai Ghostwriter, juga terlibat dalam berbagai serangan phishing kredensial yang menargetkan organisasi pertahanan dan keamanan siber di wilayah Baltic dan individu berisiko tinggi di Ukraina.

COLDRIVER, juga dikenal sebagai Gamaredon, Primitive Bear, Actinium, dan Armageddon, telah dikaitkan dengan sejumlah serangan phishing yang menargetkan pejabat pemerintah Ukraina, serta militer, organisasi non-pemerintah (NGO), peradilan, penegakan hukum, dan organisasi nirlaba di negara itu untuk tujuan spionase.

Serangan Ghostwriter terbaru mengarahkan korban ke situs web yang diretas, di mana mereka dikirim ke halaman web yang dikendalikan penyerang untuk mengambil kredensial mereka.

Kelompok peretas yang sebelumnya tidak dikenal dan bermotivasi finansial telah diidentifikasi menyamar sebagai agen Rusia dalam upaya phishing yang tidak terkait yang menargetkan instansi di negara-negara Eropa Timur untuk mengirimkan backdoor JavaScript yang bernama DarkWatchman ke PC yang terinfeksi.

IBM Security X-Force menghubungkan intrusi ke klaster ancaman yang dilacaknya di bawah moniker Hive0117.

“Serangan tersebut menyamar sebagai komunikasi resmi dari Russian Government's Federal Bailiffs Service, dan email berbahasa Rusia ditargetkan untuk pengguna di sektor Telekomunikasi, Elektronik, dan Industri di Lithuania, Estonia, dan Rusia,” kata perusahaan itu.

Pembaruan aktivitas siber datang ketika Microsoft mengungkapkan bahwa dari 23 Februari hingga 8 April, enam aktor berbeda yang bersekutu dengan Rusia meluncurkan setidaknya 237 serangan siber terhadap Ukraina, termasuk 38 serangan destruktif terpisah yang menghancurkan file secara permanen di ratusan sistem berbagai organisasi di negara tersebut.

Ketegangan geopolitik dan invasi militer berikutnya ke Ukraina juga telah mendorong peningkatan serangan wiper malware yang bertujuan melumpuhkan prosedur penting misi dan menghapus bukti forensik.

Selanjutnya, Computer Emergency Response Team of Ukraine (CERT-UA) memberikan informasi tentang serangan denial-of-service (DDoS) yang terus menerus terdistribusi terhadap situs web pemerintah dan berita, yang dilakukan dengan menyuntikkan JavaScript berbahaya (bernama "BrownFlood") ke dalam situs yang diretas.

Serangan DDoS juga telah dicatat di luar Ukraina. Romania's National Directorate of Cyber ​​Security (DNSC) mengatakan pekan lalu bahwa berbagai situs web milik organisasi publik dan komersial telah "ditargetkan oleh penyerang yang berusaha membuat layanan online ini tidak dapat diakses."

Serangan tersebut, yang diklaim oleh kelompok pro-Rusia yang dikenal sebagai Killnet, merupakan pembalasan atas pilihan Rumania untuk mendukung Ukraina dalam pertempuran bersenjatanya dengan Rusia.