Serangan Baru SVR Rusia: Ancaman Global bagi Keamanan Siber



Serangan Baru SVR Rusia: Ancaman Global bagi Keamanan Siber - credit: thecyberexpress - pibitek.biz - Server

credit: thecyberexpress


336-280
TL;DR
  • SVR Rusia melancarkan serangan siber global dengan mengeksploitasi kerentanan software yang tidak ditambal di sektor pemerintah, teknologi, dan keuangan.
  • Kelompok peretas SVR dikenal dengan kemampuannya untuk memanfaatkan kerentanan yang diketahui dan memiliki strategi yang tepat dalam memilih target mereka.
  • Organisasi di seluruh dunia harus waspada terhadap aktivitas SVR dan mengambil tindakan untuk melindungi diri mereka sendiri dengan meningkatkan kesadaran tentang ancaman dan meningkatkan praktik keamanan.

pibitek.biz -Badan Intelijen Luar Negeri Rusia (SVR), kelompok peretas yang terkenal dengan serangan SolarWinds dan perburuan penelitian vaksin COVID-19, kembali muncul dan melancarkan serangan siber global. Kali ini, mereka mengincar sektor pemerintah, teknologi, dan keuangan dengan mengeksploitasi kerentanan software yang tidak ditambal di seluruh dunia. Pusat Keamanan Siber Nasional Inggris (NCSC) dan lembaga-lembaga Amerika Serikat (AS) telah memperingatkan dunia tentang operasi siber SVR, yang dikenal sebagai APT29 atau Cozy Bear.

Kelompok ini dikenal dengan kemampuannya untuk memanfaatkan kerentanan yang diketahui, terutama yang diabaikan oleh organisasi. Para peretas SVR, yang dikenal dengan operasi sibernya yang gigih dan rahasia, biasanya mengincar entitas pemerintah, lembaga pemikir, dan perusahaan swasta untuk mengumpulkan intelijen asing. Mereka memiliki strategi yang tepat dalam memilih target mereka, membagi mereka menjadi dua kategori. Kategori pertama terdiri dari entitas yang dianggap penting secara strategis, seperti pemerintah, lembaga keuangan, dan perusahaan teknologi.

Sasaran ini dipilih dengan cermat karena nilai intelijennya. Kategori kedua dikenal sebagai "sasaran kesempatan", yang mencakup organisasi mana pun dengan sistem yang tidak ditambal yang dapat dieksploitasi untuk tujuan jahat. SVR telah mengidentifikasi lebih dari 20 kerentanan yang dipublikasikan yang sedang mereka manfaatkan secara aktif. Organisasi di seluruh dunia, termasuk di Inggris, didesak untuk segera menerapkan tambalan dan memprioritaskan pembaruan software untuk mengurangi risiko serangan siber.

Setelah mendapatkan akses awal melalui sistem yang tidak ditambal, para peretas SVR dapat meningkatkan hak aksesnya dan menyebar ke seluruh jaringan, sering kali menyerang sistem yang terhubung, seperti rantai pasokan. Ini memungkinkan mereka untuk melakukan operasi lebih lanjut, termasuk spionase, pengambilan data, dan gangguan jaringan. SVR terkenal dengan kemampuannya untuk beradaptasi dengan teknologi yang berkembang. NCSC memperingatkan bahwa kelompok ini telah menyesuaikan pendekatannya untuk memanfaatkan konfigurasi cloud yang tidak aman dan praktik keamanan yang lemah, mengingat meningkatnya penggunaan infrastruktur cloud.

Hal ini menjadikan mereka lawan yang tangguh bagi organisasi yang bermigrasi atau sangat bergantung pada layanan cloud. SVR juga terlibat dalam serangan skala besar baru-baru ini, termasuk kompromi rantai pasokan SolarWinds dan serangkaian kampanye spear-phishing yang menargetkan penelitian vaksin COVID-19. Insiden-insiden ini menunjukkan fokus kelompok ini pada aset strategis dan potensinya untuk memengaruhi keamanan nasional dan kesehatan masyarakat. Para ahli keamanan siber menyoroti taktik, teknik, dan prosedur (TTP) yang digunakan oleh peretas SVR.

SVR menggunakan berbagai metode untuk mendapatkan akses awal dan menjalankan operasi tindak lanjut dari akun yang diretas, termasuk kampanye spear-phishing, penyerangan dengan menyemprotkan kata sandi, serangan rantai pasokan, dan penyalahgunaan hubungan tepercaya. Dalam kampanye terbaru, para peretas SVR terbukti mengeksploitasi lingkungan cloud menggunakan akun Microsoft Teams yang menyamar sebagai dukungan teknis untuk menipu korban agar memberikan akses. Mereka memanfaatkan akun bisnis kecil yang tidak aman untuk membuat platform yang memungkinkan mereka menargetkan organisasi terkemuka.

SVR dikenal dengan kemampuannya untuk tetap tidak terdeteksi dalam jangka waktu yang lama. Mereka sering menggunakan jaringan The Onion Router (TOR) dan layanan proxy untuk mengaburkan aktivitas mereka. Mereka juga menyewa infrastruktur menggunakan identitas palsu dan akun email yang memiliki reputasi buruk untuk menghindari deteksi. Jika SVR curiga operasi mereka terungkap, mereka akan segera menghancurkan infrastruktur dan bukti apa pun di dalamnya. Pendekatan yang sulit dipahami ini menyulitkan para penyelidik untuk melacak operasi mereka kembali ke sumber asalnya.

SVR juga terlibat dalam eksploitasi beberapa kerentanan yang terkenal. Sebagai contoh, laporan tersebut menyebutkan eksploitasi server email Zimbra menggunakan CVE-2022-27924, kerentanan injeksi perintah yang memungkinkan penyerang untuk mengakses kredensial pengguna tanpa interaksi korban. Baru-baru ini, mereka mengeksploitasi kerentanan CVE-2023-42793 JetBrains TeamCity, yang memungkinkan eksekusi kode sembarangan. Eksploitasi semacam ini menunjukkan fokus SVR pada sistem software yang banyak digunakan, memungkinkan mereka untuk menyusup ke berbagai sektor dan wilayah.

NCSC dan lembaga AS telah memberikan beberapa rekomendasi untuk membantu organisasi melindungi diri dari peretas SVR. Organisasi harus memprioritaskan penerapan tambalan dan pembaruan software, terutama untuk kerentanan yang dikenal, meningkatkan kesadaran akan ancaman dan melatih karyawan untuk mengenali serangan spear-phishing, menerapkan kontrol akses yang kuat dan pemantauan jaringan, serta memperkuat postur keamanan cloud. SVR merupakan ancaman yang nyata dan serius bagi keamanan dunia maya.

Organisasi harus proaktif dalam melindungi diri mereka dari serangan ini, dengan menerapkan praktik keamanan terbaik dan tetap waspada terhadap taktik yang berkembang dari kelompok ini. Peningkatan kolaborasi dan berbagi informasi antara lembaga pemerintah, perusahaan swasta, dan komunitas keamanan siber sangat penting untuk melawan ancaman SVR. Hal ini sangat memprihatinkan karena menunjukkan kurangnya upaya yang dilakukan oleh organisasi untuk meningkatkan keamanan siber mereka. Mereka tampaknya mengabaikan peringatan dan rekomendasi dari badan keamanan siber, yang menunjukkan kecerobohan dan ketidakpedulian yang sangat mengkhawatirkan.

Kerugian yang ditimbulkan oleh serangan ini tidak hanya mencakup kerusakan finansial tetapi juga kompromi data sensitif dan gangguan operasional yang luas. Kegagalan dalam menanggapi ancaman ini secara serius tidak hanya berisiko besar bagi organisasi yang terkena dampak tetapi juga bagi seluruh dunia, karena itu dapat menyebabkan ketidakstabilan ekonomi dan politik. SVR adalah ancaman yang nyata bagi keamanan dunia maya global, yang memanfaatkan kelemahan keamanan untuk mencapai tujuan jahat mereka.

Organisasi harus waspada terhadap aktivitas SVR dan mengambil tindakan untuk melindungi diri mereka sendiri, dengan meningkatkan kesadaran tentang ancaman dan meningkatkan praktik keamanan mereka. Hanya dengan upaya bersama kita dapat melawan serangan siber yang jahat ini dan menjaga dunia yang aman dan aman.