Operasi serangan dengan metode brute-force yang berlangsung dengan menargetkan cloud environments perusahaan dipelopori oleh intelijen militer Rusia sejak pertengahan 2019, menurut advisory bersama yang diterbitkan oleh Badan Intelijen Inggris dan AS.
National Security Agency (NSA), Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), dan National Cyber Security Center (NCSC) Inggris secara resmi mengaitkan serangan tersebut dengan Russian General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (GTsSS)..
Pelaku ancaman dilacak dengan berbagai moniker, termasuk APT28, Fancy Bear, Sofacy, STRONTIUM, dan Iron Twilight.
APT28 memiliki rekam jejak dengan memanfaatkan password spray dan upaya login brute-force untuk mengumpulkan kredensial valid yang memungkinkan operasi mata-mata atau penyusupan. Pada November 2020, Microsoft mengungkapkan aktivitas pemanenan kredensial yang dilakukan oleh penyerang dengan target perusahaan yang terlibat dalam penelitian vaksin dan perawatan untuk COVID-19.
Apa yang berbeda kali ini adalah ketergantungan pelaku pada wadah software untuk meningkatkan serangan brute force-nya.
“Operasi ini menggunakan cluster Kubernetes dalam upaya akses brute force terhadap cloud environment dari target perusahaan, baik sektor pemerintah maupun swasta di seluruh dunia,” ungkap CISA. “Setelah mendapatkan kredensial melalui brute force, GTsSS menggunakan berbagai kerentanan yang diketahui untuk akses jaringan lebih lanjut melalui remote code execution dan gerakan lateral.”
Baca Juga: “FBI, DHS dan CISA Ungkap Taktik Yang Digunakan Oleh Intelijen Rusia“
Beberapa kerentanan keamanan lain yang dieksploitasi oleh APT28 untuk mendapatkan akses ke server email internal tersebut dengan
- CVE-2020-0688Â – Microsoft Exchange Validation Key Remote Code Execution Vulnerability
- CVE-2020-17144Â – Microsoft Exchange Remote Code Execution Vulnerability
Pelaku ancaman juga dikatakan telah menggunakan teknik penghindaran yang berbeda dalam upaya menyamarkan beberapa komponen operasi mereka, termasuk upaya routing brute-force authentication melalui Tor dan layanan VPN komersial, seperti CactusVPN, IPVanish, NordVPN, ProtonVPN, Surfshark, dan WorldVPN.
Agensi tersebut mengatakan serangan itu berfokus pada AS dan Eropa, dengan target pemerintah dan militer, kontraktor pertahanan, perusahaan energi, pendidikan tinggi, perusahaan logistik, firma hukum, perusahaan media, konsultan politik atau partai politik, dan think tank.
“Manajer jaringan harus mengadopsi dan memperluas penggunaan multi-factor authentication untuk membantu melawan efektivitas kemampuan serangan ini,” kata advisory gabungan yang diterbitkan itu. “Mitigasi tambahan untuk memastikan kontrol akses yang kuat mencakup fitur time-out dan lock-out, penggunaan wajib kata sandi yang kuat, penerapan model keamanan Zero Trust yang menggunakan atribut tambahan saat menentukan akses, dan analitik untuk mendeteksi akses yang tidak wajar.“
