Kelompok ancaman yang bersekutu dengan Rusia dikenal sebagai Vivern Musim Dingin ditemukan mengeksploitasi kerentanan cross-site scripting (XSS) di server webmail Roundcube di seluruh Eropa pada bulan Oktober — dan kini korbannya mulai terungkap.
Kelompok ini terutama menargetkan infrastruktur pemerintah, militer, dan nasional di Georgia, Polandia, dan Ukraina, menurut laporan Insikt Group dari Recorded Future tentang kampanye yang dirilis hari ini.
Laporan tersebut juga menyoroti target tambahan, termasuk Kedutaan Besar Iran di Moskow, Kedutaan Besar Iran di Belanda, dan Kedutaan Besar Georgia di Swedia.
Memanfaatkan teknik rekayasa sosial yang canggih, APT (yang Insikt sebut TAG-70 dan juga dikenal sebagai TA473, dan UAC-0114) menggunakan a Eksploitasi zero-day Roundcube untuk mendapatkan akses tidak sah ke server email yang ditargetkan di setidaknya 80 organisasi terpisah, mulai dari sektor transportasi dan pendidikan hingga organisasi penelitian kimia dan biologi.
Kampanye ini diperkirakan dilakukan untuk mengumpulkan informasi intelijen mengenai urusan politik dan militer Eropa, yang berpotensi mendapatkan keuntungan strategis atau melemahkan keamanan dan aliansi Eropa, menurut Insikt.
Kelompok ini diduga melakukan kampanye spionase dunia maya untuk kepentingan Belarusia dan Rusia, dan telah aktif setidaknya sejak Desember 2020.
Motivasi Geopolitik Winter Vivern untuk Spionase Dunia Maya
Kampanye bulan Oktober ini dikaitkan dengan aktivitas TAG-70 sebelumnya terhadap server email pemerintah Uzbekistan, yang dilaporkan oleh Insikt Group pada Februari 2023.
Motivasi yang jelas dari penargetan Ukraina adalah konflik dengan Rusia.
“Dalam konteks perang yang sedang berlangsung di Ukraina, server email yang disusupi dapat mengungkap informasi sensitif mengenai upaya dan perencanaan perang Ukraina, hubungannya, dan negosiasi dengan negara-negara mitranya saat Ukraina mencari bantuan militer dan ekonomi tambahan, [yang] mengungkap pihak ketiga yang bekerja sama dengan pemerintah Ukraina secara pribadi, dan mengungkap perpecahan dalam koalisi yang mendukung Ukraina,” kata laporan Insikt.
Sementara itu, fokus pada kedutaan besar Iran di Rusia dan Belanda dapat dikaitkan dengan motif untuk mengevaluasi keterlibatan diplomatik dan posisi kebijakan luar negeri Iran yang sedang berlangsung, khususnya mengingat keterlibatan Iran dalam mendukung Rusia dalam konflik di Ukraina.
Demikian pula, spionase yang menargetkan Kedutaan Besar Georgia di Swedia dan Kementerian Pertahanan Georgia mungkin berasal dari tujuan kebijakan luar negeri yang serupa, terutama karena Georgia telah merevitalisasi upayanya untuk menjadi anggota Uni Eropa dan aksesi NATO setelah serangan Rusia ke Ukraina pada awal tahun ini. 2022.
Sasaran penting lainnya adalah organisasi-organisasi yang terlibat dalam industri logistik dan transportasi, yang berdasarkan konteks perang di Ukraina, karena jaringan logistik yang kuat terbukti penting bagi kedua belah pihak dalam mempertahankan kemampuan mereka untuk berperang.
Pertahanan Spionase Dunia Maya Itu Sulit
Kampanye spionase dunia maya telah meningkat: Awal bulan ini, APT Rusia yang canggih diluncurkan kampanye serangan PowerShell yang ditargetkan terhadap militer Ukraina, sementara APT Rusia lainnya, Turla, menargetkan LSM Polandia menggunakan a malware pintu belakang baru.
Ukraina juga punya melancarkan serangan cybernya sendiri terhadap Rusia, menargetkan server penyedia layanan Internet Moskow M9 Telecom pada bulan Januari, sebagai pembalasan atas pelanggaran operator telepon seluler Kyivstar yang didukung Rusia.
Namun laporan Insikt Group mencatat bahwa bertahan dari serangan seperti ini bisa jadi sulit, terutama dalam kasus eksploitasi kerentanan zero-day.
Namun, organisasi dapat mengurangi dampak kompromi dengan mengenkripsi email dan mempertimbangkan bentuk komunikasi aman alternatif untuk transmisi informasi sensitif.
Penting juga untuk memastikan bahwa semua server dan perangkat lunak telah di-patch dan selalu diperbarui, dan pengguna hanya boleh membuka email dari kontak tepercaya.
Organisasi juga harus membatasi jumlah informasi sensitif yang disimpan di server email dengan mempraktikkan kebersihan yang baik dan mengurangi retensi data serta membatasi informasi dan percakapan sensitif ke sistem pihak atas yang lebih aman bila memungkinkan.
Laporan tersebut juga mencatat bahwa pengungkapan kerentanan yang bertanggung jawab, khususnya yang dieksploitasi oleh aktor APT seperti TAG-70, sangat penting karena beberapa alasan.
Seorang analis intelijen ancaman di Grup Insikt Recorded Future menjelaskan melalui email bahwa pendekatan ini memastikan kerentanan ditambal dan diperbaiki dengan cepat sebelum orang lain menemukan dan menyalahgunakannya, dan memungkinkan pengendalian eksploitasi oleh penyerang canggih, mencegah kerusakan yang lebih luas dan cepat.
“Pada akhirnya, pendekatan ini mengatasi risiko-risiko langsung dan mendorong perbaikan jangka panjang dalam praktik keamanan siber global,” jelas analis tersebut.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military
