Kampanye cyberespionage yang disponsori negara Rusia yang dikaitkan dengan peretas APT28 (Fancy Bear/Forest Blizzard) telah menargetkan dan mengkompromikan organisasi internasional sejak 2022 untuk mengganggu upaya bantuan ke Ukraina.
Para peretas menargetkan entitas dalam sektor pertahanan, transportasi, TI, lalu lintas udara, dan maritim di 12 negara Eropa dan Amerika Serikat.
Selain itu, para peretas telah melacak pergerakan bahan ke Ukraina dengan mengkompromikan akses ke kamera pribadi yang dipasang di lokasi -lokasi utama (misalnya penyeberangan perbatasan, instalasi militer, stasiun kereta api).
Penasihat bersama dari 21 lembaga intelijen dan cybersecurity di hampir selusin negara berbagi taktik, teknik, dan prosedur yang APT28 (GTSSS GTSS Rusia GTSSS, unit militer 26165) digunakan dalam serangan.
Mencampur TTP untuk intrusi yang tersembunyi
Laporan tersebut mencatat bahwa sejak tahun 2022, aktor ancaman APT28 Rusia telah menggunakan taktik seperti penyemprotan kata sandi, phishing tombak, dan eksploitasi kerentanan Microsoft Exchange untuk kompromi organisasi.
Setelah mengkompromikan target utama, para peretas menyerang entitas lain di sektor transportasi dengan ikatan bisnis dengan korban utama, “mengeksploitasi hubungan kepercayaan untuk mencoba mendapatkan akses tambahan.”
Selain itu, APT28 juga mengkompromikan kamera yang terhubung dengan internet di penyeberangan perbatasan Ukraina untuk memantau pengiriman bantuan.
Organisasi yang ditargetkan berlokasi di Amerika Serikat, Bulgaria, Ceko, Prancis, Jerman, Yunani, Italia, Moldova, Belanda, Polandia, Rumania, Slovakia, dan Ukraina.
Menurut laporanperetas memperoleh akses awal menggunakan banyak teknik, di antaranya:
- Menebak kredensial atau brute force
- Tombak-phishing untuk kredensial
- Peperangan tombak untuk mengirimkan malware
- Memanfaatkan Kerentanan Outlook NTLM CVE-2023-23397
- Memanfaatkan kerentanan (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026) Di perangkat lunak webmail open-source RoundCube
- Mengeksploitasi Infrastruktur yang Menghadapi Internet, Termasuk VPN Perusahaan, melalui Kerentanan Publik dan Injeksi SQL
- Mengeksploitasi kerentanan winrar CVE-2023-38831
Untuk menyembunyikan asal serangan itu, APT28 merutekan komunikasi mereka melalui perangkat kantor/kantor rumah kecil yang dikompromikan yang berdekatan dengan target.
Setelah di jaringan korban, peretas menjalankan pengintaian kontak internal (dalam cybersecurity, koordinasi transportasi, dan perusahaan mitra) untuk mengidentifikasi target tambahan.
Untuk pergerakan lateral dan ekstraksi data, perintah asli dan alat open-source digunakan, seperti psexec, impacket, protokol desktop jarak jauh, sertipy dan adexplorer untuk mengeksfiltrat informasi direktori aktif.
Mereka juga menemukan dan mengesampingkan daftar pengguna Office 365 untuk mengumpulkan email. Setelah mendapatkan akses ke akun email, APT28 akan “mendaftarkan akun yang dikompromikan dalam mekanisme MFA untuk meningkatkan tingkat kepercayaan dari akun yang dikompromikan dan memungkinkan akses berkelanjutan.”
Satu langkah setelah mendapatkan akses awal adalah meretas akun dengan akses ke informasi sensitif tentang pengiriman bantuan ke Ukraina, yang termasuk pengirim dan penerima, konten kargo, rute perjalanan, nomor pendaftaran kontainer, dan tujuan.
Di antara malware yang digunakan selama kampanye, para peneliti mengamati pintu depan dan masepie backdoors.
Para peretas menggunakan banyak metode untuk mengeksfiltrasi data, pilihan masing-masing tergantung pada lingkungan korban dan termasuk biner dan malware yang hidup di luar tanah dan malware.
Dalam beberapa kasus, mereka berhasil mempertahankan siluman dengan mengandalkan infrastruktur yang dekat dengan korban, protokol tepercaya dan sah, infrastruktur lokal, dan meluangkan waktu mereka antara sesi eksfiltrasi.
Menargetkan kamera yang terhubung
Salah satu bagian dari kampanye spionase cenderung meretas umpan kamera (pribadi, lalu lintas, instalasi militer, stasiun kereta api, persimpangan perbatasan) untuk memantau pergerakan bahan ke Ukraina.
Laporan dari lembaga pemerintah mencatat bahwa lebih dari 10.000 kamera ditargetkan, lebih dari 80% berlokasi di Ukraina, diikuti oleh hampir seribu di Rumania.
John Hultquist, kepala analis Grup Intelijen Ancaman Google, mengatakan kepada BleepingComputer bahwa selain dari minat untuk mengidentifikasi dukungan ke medan perang, tujuan aktor ancaman juga untuk mengganggu “dukungan melalui cara fisik atau cyber.”
“Insiden ini bisa menjadi prekursor untuk tindakan serius lainnya,” kata Hultquist, menambahkan peringatan bahwa siapa pun yang terlibat dalam proses mengirimkan bantuan materi ke Ukraina “harus menganggap diri mereka ditargetkan.”
Itu Penasihat Keamanan Cybersory Gabungan Termasuk mitigasi keamanan umum, dan deteksi, serta serangkaian indikator kompromi untuk skrip dan utilitas yang digunakan, penyedia email yang biasa digunakan oleh aktor ancaman, nama file arsip berbahaya, alamat IP, dan rincian eksploitasi Outlook.
