Cybersecurity and Infrastructure Security Agency (CISA), Department of Homeland Security (DHS), dan Federal Bureau of Investigation (FBI) pada hari Senin menerbitkan advisory kolektif baru sebagai bagian dari upaya terbaru mereka untuk mengungkap taktik, teknik, dan prosedur (TTP) yang diadopsi oleh Foreign Intelligence Service (SVR) Rusia dalam serangannya yang menargetkan AS dan entitas asing.
Dalang dari peretasan tersebut berhasil di lacak dengan nama panggilan atau julukan yang berbeda diantaranya, Advanced Persistent Threat 29 (APT29), the Dukes, CozyBear, dan Yttrium. Dari hasil investigasi tersebut pemerintah AS memberikan sanksi kepada Rusia dan secara resmi menyematkan kasus peretasan SolarWinds serta operasi spionase siber terkait kepada operator pemerintah yang bekerja untuk SVR.
APT29, sejak muncul di lanskap ancaman siber pada tahun 2013, telah dikaitkan dengan sejumlah serangan yang diatur dengan tujuan untuk mendapatkan akses ke jaringan korban, bergerak di dalam lingkungan korban tanpa terdeteksi, dan mengekstrak informasi sensitif. Namun dalam perubahan dalam taktik pada tahun 2018, aktor ancaman tersebut beralih dari menyebarkan malware pada jaringan target ke layanan email berbasis cloud yang mencolok.
“Menargetkan sumber daya cloud mungkin mengurangi kemungkinan deteksi dengan menggunakan akun yang disusupi atau kesalahan konfigurasi sistem untuk berbaur dengan lalu lintas normal atau tidak terpantau di lingkungan yang tidak dilindungi, dipantau, atau dipahami dengan baik oleh organisasi korban,” kata badan AS tersebut.
Baca Juga: ” Yang Harus Kamu Tahu Mengenai Serangan Siber Microsoft Exchange“
Di antara beberapa taktik lain yang digunakan oleh APT29 adalah password spraying, mengeksploitasi kerentanan zero-day terhadap peralatan virtual private network (seperti CVE-2019-19781) untuk mendapatkan akses jaringan, dan menyebarkan malware Golang yang disebut WELLMESS untuk menjarah kekayaan intelektual dari berbagai organisasi yang terlibat dalam pengembangan vaksin COVID-19.
Selain CVE-2019-19781, aktor ancaman diketahui mendapatkan pijakan awal ke perangkat dan jaringan korban dengan memanfaatkan CVE-2018-13379, CVE-2019-9670, CVE-2019-11510, dan CVE-2020-4006.
“FBI dan DHS merekomendasikan penyedia layanan untuk memperkuat validasi pengguna dan sistem verifikasi untuk melarang penyalahgunaan layanan mereka,” menurut advisory yang diterbitkan, juga mendesak bisnis untuk mengamankan jaringan mereka dari kompromi perangkat lunak tepercaya.
