Cacat Microsoft Outlook Dieksploitasi oleh APT28 Rusia untuk Meretas Entitas Ceko dan Jerman

 

Ceko dan Jerman pada hari Jumat mengungkapkan bahwa mereka adalah target kampanye spionase dunia maya jangka panjang yang dilakukan oleh aktor negara-bangsa yang terkait dengan Rusia yang dikenal sebagai APT28, yang memicu kecaman dari Uni Eropa (UE), Pakta Pertahanan Atlantik Utara (NATO). ), Inggris, dan Amerika Serikat

 Kementerian Luar Negeri Republik Ceko (MFA), dalam sebuah pernyataan, mengatakan beberapa entitas yang tidak disebutkan namanya di negara tersebut telah diserang menggunakan kelemahan keamanan di Microsoft Outlook yang terungkap awal tahun lalu.

 “Serangan dunia maya yang menargetkan entitas politik, lembaga negara, dan infrastruktur penting tidak hanya merupakan ancaman terhadap keamanan nasional, namun juga mengganggu proses demokrasi yang menjadi landasan masyarakat bebas kita,” kata MFA.

Kelemahan keamanan yang dimaksud adalah CVE-2023-23397, bug eskalasi hak istimewa penting yang sekarang telah ditambal di Outlook yang memungkinkan musuh mengakses hash Net-NTLMv2 dan kemudian menggunakannya untuk mengautentikasi dirinya sendiri melalui serangan relai.

 Pemerintah Federal Jerman (alias Bundesregierung) mengaitkan aktor ancaman tersebut dengan serangan dunia maya yang ditujukan kepada Komite Eksekutif Partai Sosial Demokrat dengan menggunakan kerentanan Outlook yang sama untuk "jangka waktu yang relatif lama", sehingga memungkinkannya untuk "membobol banyak akun email".

 Beberapa sektor industri yang ditargetkan sebagai bagian dari kampanye ini termasuk logistik, persenjataan, industri udara dan luar angkasa, layanan TI, yayasan, dan asosiasi yang berlokasi di Jerman, Ukraina, dan Eropa, dan Bundesregierung juga melibatkan kelompok tersebut dalam serangan terhadap pesawat pada tahun 2015. parlemen federal Jerman (Bundestag).

APT28, yang dinilai terkait dengan Unit Militer 26165 dari badan intelijen militer Federasi Rusia GRU, juga dilacak oleh komunitas keamanan siber yang lebih luas dengan nama BlueDelta, Fancy Bear, Forest Blizzard (sebelumnya Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy, dan TA422.

 Akhir bulan lalu, Microsoft menghubungkan kelompok peretasan tersebut dengan eksploitasi komponen Microsoft Windows Print Spooler (CVE-2022-38028, skor CVSS: 7.8) sebagai zero-day untuk mengirimkan malware khusus yang sebelumnya tidak dikenal bernama GooseEgg untuk menyusup ke Ukraina, Barat.

 Organisasi sektor pemerintah, non-pemerintah, pendidikan, dan transportasi di Eropa, dan Amerika Utara. NATO mengatakan tindakan campuran Rusia “merupakan ancaman terhadap keamanan Sekutu.” Dewan Uni Eropa juga ikut serta, dengan menyatakan “kampanye siber yang jahat menunjukkan pola perilaku tidak bertanggung jawab yang terus menerus dilakukan Rusia di dunia maya.”

“Aktivitas yang baru-baru ini dilakukan oleh kelompok siber GRU Rusia, APT28, termasuk menargetkan eksekutif Partai Sosial Demokrat Jerman, merupakan pola perilaku terbaru yang diketahui oleh Badan Intelijen Rusia untuk melemahkan proses demokrasi di seluruh dunia,” kata pemerintah Inggris.

 Departemen Luar Negeri AS menggambarkan APT28 dikenal terlibat dalam “perilaku jahat, jahat, tidak stabil, dan mengganggu” dan berkomitmen terhadap “keamanan sekutu dan mitra kami serta menegakkan tatanan internasional berdasarkan aturan, termasuk di dunia maya.”

 Awal bulan Februari ini, tindakan penegakan hukum yang terkoordinasi mengganggu botnet yang terdiri dari ratusan router kantor kecil dan rumah (SOHO) di AS dan Jerman yang diyakini digunakan oleh pelaku APT28 untuk menyembunyikan aktivitas jahat mereka, seperti eksploitasi CVE. -2023-23397 terhadap target yang diminati.

 Menurut laporan dari perusahaan keamanan siber Trend Micro minggu ini, botnet proxy kriminal pihak ketiga sudah ada sejak tahun 2016 dan terdiri dari lebih dari sekadar router dari Ubiquiti, mencakup router berbasis Linux lainnya, Raspberry Pi, dan server pribadi virtual (VPS). 

“Pelaku ancaman [di balik botnet] berhasil memindahkan beberapa bot EdgeRouter dari server C&C [command-and-control] yang dihapus pada 26 Januari 2024, ke infrastruktur C&C yang baru disiapkan pada awal Februari 2024 ," kata perusahaan itu, seraya menambahkan bahwa kendala hukum dan tantangan teknis menghalangi pembersihan menyeluruh semua router yang terjerat.

 Aktivitas ancaman dunia maya yang disponsori negara Rusia – pencurian data, serangan destruktif, kampanye DDoS, dan operasi pengaruh – juga diperkirakan menimbulkan risiko besar terhadap pemilu di wilayah seperti AS, Inggris, dan Uni Eropa. dari beberapa grup seperti APT44 (alias Sandworm), COLDRIVER, KillNet, APT29, dan APT28, berdasarkan penilaian yang dirilis oleh anak perusahaan Google Cloud Mandiant minggu lalu.

 “Pada tahun 2016, APT28 yang terkait dengan GRU menyusupi target organisasi Partai Demokrat AS serta akun pribadi ketua tim kampanye calon presiden dari Partai Demokrat dan mengatur kebocoran kampanye menjelang pemilihan Presiden AS tahun 2016,” kata peneliti Kelli Vanderlee dan Jamie Collier.

Terlebih lagi, data dari Cloudflare dan NETSCOUT menunjukkan peningkatan serangan DDoS yang menargetkan Swedia setelah negara tersebut diterima menjadi anggota aliansi NATO, mencerminkan pola yang diamati selama bergabungnya Finlandia ke NATO pada tahun 2023.

“Kemungkinan pelaku serangan ini termasuk kelompok peretas NoName057, Anonymous Sudan, Tim Tentara Siber Rusia, dan KillNet,” kata NETSCOUT. “Semua kelompok ini bermotif politik dan mendukung cita-cita Rusia.”

 Perkembangan ini terjadi ketika lembaga-lembaga pemerintah dari Kanada, Inggris, dan Amerika Serikat telah merilis lembar fakta bersama yang baru untuk membantu mengamankan organisasi-organisasi infrastruktur penting dari serangan berkelanjutan yang dilancarkan oleh para peretas pro-Rusia terhadap sistem kontrol industri (ICS) dan sistem operasional skala kecil.

 sistem teknologi (OT) sejak tahun 2022. “Aktivitas hacktivist pro-Rusia tampaknya sebagian besar terbatas pada teknik sederhana yang memanipulasi peralatan ICS untuk menciptakan efek gangguan,” kata badan tersebut. “Namun, penyelidikan telah mengidentifikasi bahwa para pelaku ini mampu melakukan teknik yang menimbulkan ancaman fisik terhadap lingkungan OT yang tidak aman dan salah konfigurasi.”

 Sasaran serangan ini terdiri dari organisasi-organisasi di sektor infrastruktur penting di Amerika Utara dan Eropa, termasuk sistem air dan air limbah, bendungan, energi, serta sektor pangan dan pertanian. Kelompok hacktivist telah diamati mendapatkan akses jarak jauh dengan mengeksploitasi koneksi internet yang terbuka secara publik serta kata sandi default pabrik yang terkait dengan antarmuka mesin manusia (HMIs) yang lazim di lingkungan tersebut, diikuti dengan merusak parameter penting, mematikan mekanisme alarm, dan mematikan mekanisme alarm. dan mengunci operator dengan mengubah kata sandi administratif.

 Rekomendasi untuk memitigasi ancaman ini termasuk memperkuat antarmuka mesin manusia, membatasi paparan sistem OT ke internet, menggunakan kata sandi yang kuat dan unik, dan menerapkan otentikasi multi-faktor untuk semua akses ke jaringan OT.

 “Para peretas ini berusaha mengkompromikan sistem kontrol industri (ICS) yang modular dan terekspos internet melalui komponen perangkat lunak mereka, seperti antarmuka mesin manusia (HMI), dengan mengeksploitasi perangkat lunak akses jarak jauh komputasi jaringan virtual (VNC) dan kata sandi default,” kata peringatan itu. .