Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Threat / DDoS

DDoS

Serangan DDoS Hacktivist berdampak kecil pada organisasi penting

by

Biro Investigasi Federal (FBI) mengatakan pada hari Jumat bahwa serangan penolakan layanan (DDoS) terdistribusi yang dikoordinasikan oleh kelompok peretas memiliki dampak kecil pada layanan yang mereka targetkan.

Seperti yang dijelaskan oleh lembaga penegak hukum dalam pemberitahuan industri swasta yang dikeluarkan hari ini, ini terjadi karena mereka menargetkan infrastruktur yang menghadap publik seperti situs web alih-alih layanan yang sebenarnya, yang menyebabkan gangguan terbatas.

Kelompok tersebut biasanya menargetkan organisasi infrastruktur penting atau profil tinggi seperti lembaga keuangan, layanan darurat, bandara, dan fasilitas pemerintah, kesehatan, dan medis.

Dengan menghapus situs web mereka, para peretas bertujuan untuk meningkatkan kredibilitas mereka dan “secara keliru menyatakan dampak atau gangguan yang lebih besar daripada apa yang terjadi.”

Dalam satu contoh baru-baru ini dari insiden semacam itu, kelompok peretas pro-Rusia KillNet mengklaim serangan terhadap situs web beberapa bandara besar di seluruh AS.

Serangan DDoS membanjiri server yang menampung situs-situs ini, sehingga tidak memungkinkan bagi pelancong untuk memesan layanan bandara atau mendapatkan pembaruan tentang penerbangan terjadwal mereka.

Contoh penting situs web bandara yang tidak dapat diakses selama insiden termasuk:

  • Bandara Internasional Hartsfield-Jackson Atlanta (ATL), salah satu pusat lalu lintas udara yang lebih signifikan di AS.
  • Bandara Internasional Los Angeles (LAX)
  • Bandara Internasional Chicago O’Hare (ORD)

Sementara serangan DDoS ini tidak berdampak pada penerbangan, mereka masih memiliki efek buruk pada sektor ekonomi penting, menunda layanan terkait.

Satu minggu sebelumnya, kelompok yang sama juga menyerang situs web pemerintah AS di Colorado, Kentucky, dan Mississippi, dengan keberhasilan sedang, membuat beberapa di antaranya offline untuk waktu yang singkat.

Killnet juga mengklaim telah menghapus situs CISA’s Protected Critical Infrastructure Information Management System pada hari Jumat setelah serangannya terhadap Departemen Keuangan AS pada awal Oktober digagalkan sebelum mempengaruhi infrastruktur agensi.

Seminggu yang lalu, CISA, FBI, dan MS-ISAC menerbitkan nasihat bersama untuk memberikan informasi kepada para pembela HAM tentang pengurangan kemungkinan dan dampak serangan DDoS.

Sumber: Bleeping Computer

Cacat Penumpukan VLAN Ethernet memungkinkan peretas meluncurkan serangan DoS, MiTM

by

Empat kerentanan dalam fitur Ethernet ‘Stacked VLAN’ yang diadopsi secara luas memungkinkan penyerang melakukan serangan denial-of-service (DoS) atau man-in-the-middle (MitM) terhadap target jaringan menggunakan paket yang dibuat khusus.

Stacked VLAN, juga dikenal sebagai VLAN Stacking, adalah fitur di router dan switch modern yang memungkinkan perusahaan untuk merangkum beberapa ID VLAN ke dalam satu koneksi VLAN yang dibagikan dengan penyedia upstream.

Kerentanan mempengaruhi perangkat jaringan seperti switch, router, dan sistem operasi yang menggunakan kontrol keamanan Layer-2 (L2) untuk menyaring lalu lintas untuk isolasi jaringan virtual.

Cisco dan Juniper Networks telah mengkonfirmasi bahwa beberapa produk mereka terpengaruh oleh kekurangan tersebut, tetapi banyak vendor perangkat belum menyelesaikan penyelidikan mereka; maka dampak keseluruhan tetap tidak diketahui.

Kerentanan ada dalam protokol enkapsulasi Ethernet yang memungkinkan penumpukan header Virtual Local Area Network (VLAN).

Penyerang yang berdekatan dan tidak diautentikasi dapat menggunakan kombinasi header VLAN dan LLC/SNAP untuk melewati perlindungan pemfilteran jaringan L2 seperti pelindung RA IPv6, inspeksi ARP dinamis, perlindungan penemuan tetangga IPv6, dan pengintaian DHCP.

Empat kerentanan tersebut adalah:

  • CVE-2021-27853 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung IPv6 RA atau inspeksi ARP dapat dilewati menggunakan kombinasi header VLAN 0 dan header LLC/SNAP.
  • CVE-2021-27854 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung IPv6 RA dapat dilewati menggunakan kombinasi header VLAN 0, header LLC/SNAP dalam terjemahan bingkai Ethernet ke Wifi, dan kebalikan dari Wifi ke Ethernet.
  • CVE-2021-27861 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung RA IPv6 dapat dilewati menggunakan header LLC/SNAP dengan panjang yang tidak valid (dan opsional header VLAN0).
  • CVE-2021-27862 Kemampuan pemfilteran jaringan Layer 2 seperti pelindung IPv6 RA dapat dilewati menggunakan header LLC/SNAP dengan panjang yang tidak valid dan konversi frame Ethernet ke Wifi (dan header VLAN0 opsional).

Dengan mengeksploitasi salah satu kelemahan ini secara independen, penyerang dapat menipu perangkat target untuk merutekan lalu lintas ke tujuan yang berubah-ubah.

Yang terakhir adalah skenario yang lebih parah, karena penyerang dapat mengamati lalu lintas jaringan dan mengakses informasi sensitif jika data tidak dienkripsi.

Satu hal yang perlu diperhatikan adalah bahwa dalam produk virtualisasi dan jaringan virtual berbasis cloud modern, kemampuan jaringan L2 melampaui LAN, sehingga paparan kelemahan ini dapat diperluas ke internet.

Juniper Networks mengonfirmasi bahwa CVE-2021-27853 dan CVE-2021-27854 memengaruhi beberapa produknya dan merilis pembaruan keamanan pada 25 Agustus 2022.

Cisco merilis buletin keamanan kemarin yang mengonfirmasi bahwa banyak produk jaringannya terpengaruh oleh CVE-2021-27853 dan CVE-2021-27861.

Produk yang terpengaruh termasuk sakelar, router, dan perangkat lunak, tetapi perbaikan untuk sebagian besar dari mereka tidak akan tersedia sesuai dengan tabel di penasehat.

Semua admin jaringan disarankan untuk memeriksa dan membatasi protokol yang digunakan pada port akses, mengaktifkan semua kontrol keamanan antarmuka yang tersedia, memeriksa dan memblokir iklan router, dan menerapkan pembaruan keamanan vendor segera setelah tersedia.

Sumber: Bleeping Computer

Rekam Serangan DDoS dengan 25,3 Miliar Permintaan Penyalahgunaan HTTP/2 Multiplexing

by

Perusahaan keamanan siber Imperva telah mengungkapkan bahwa mereka telah mengurangi serangan penolakan layanan (DDoS) terdistribusi dengan total lebih dari 25,3 miliar permintaan pada 27 Juni 2022.

“Serangan kuat,” yang menargetkan perusahaan telekomunikasi China yang tidak disebutkan namanya, dikatakan telah berlangsung selama empat jam dan mencapai puncaknya pada 3,9 juta permintaan per detik (RPS).

“Penyerang menggunakan multiplexing HTTP/2, atau menggabungkan beberapa paket menjadi satu, untuk mengirim beberapa permintaan sekaligus melalui koneksi individu,” kata Imperva dalam sebuah laporan yang diterbitkan pada 19 September.

Serangan itu diluncurkan dari botnet yang terdiri dari hampir 170.000 alamat IP berbeda yang mencakup router, kamera keamanan, dan server yang disusupi yang berlokasi di lebih dari 180 negara, terutama AS, Indonesia, dan Brasil.

Pengungkapan itu juga muncul saat penyedia infrastruktur web Akamai mengatakan pihaknya menerjunkan serangan DDoS baru yang ditujukan untuk pelanggan yang berbasis di Eropa Timur pada 12 September, dengan lalu lintas serangan melonjak pada 704,8 juta paket per detik (pps).

Korban yang sama sebelumnya ditargetkan pada 21 Juli 2022, dengan cara yang sama di mana volume serangan meningkat hingga 853,7 gigabit per detik (Gbps) dan 659,6 juta pps selama 14 jam.

Craig Sparling dari Akamai mengatakan perusahaan telah “dibombardir tanpa henti dengan serangan penolakan layanan (DDoS) terdistribusi yang canggih,” menunjukkan bahwa serangan tersebut dapat bermotivasi politik dalam menghadapi perang berkelanjutan Rusia melawan Ukraina.

Kedua upaya mengganggu adalah serangan banjir UDP di mana penyerang menargetkan dan membanjiri port sewenang-wenang pada host target dengan paket User Datagram Protocol (UDP).

UDP, karena tanpa koneksi dan tanpa sesi, menjadikannya protokol jaringan yang ideal untuk menangani lalu lintas VoIP. Tetapi sifat-sifat yang sama ini juga dapat membuatnya lebih rentan terhadap eksploitasi.

Sumber: The Hackernews

Geng ransomware LockBit menjadi agresif dengan taktik pemerasan tiga kali

by

Geng ransomware LockBit mengumumkan bahwa mereka meningkatkan pertahanan terhadap serangan denial-of-service (DDoS) terdistribusi dan bekerja untuk membawa operasi ke tingkat pemerasan tiga kali lipat.

Geng baru-baru ini mengalami serangan DDoS, diduga atas nama raksasa keamanan digital Entrust, yang mencegah akses ke data yang dipublikasikan di situs kebocoran perusahaannya.

Data dari Entrust dicuri oleh ransomware LockBit dalam serangan pada 18 Juni. Perusahaan mengkonfirmasi insiden tersebut dan memberitahu bahwa data telah dicuri.

Entrust tidak membayar uang tebusan dan LockBit mengumumkan bahwa mereka akan mempublikasikan semua data yang dicuri pada 19 Agustus. Namun, ini tidak terjadi, karena situs kebocoran geng tersebut terkena serangan DDoS yang diyakini terhubung ke Entrust.

Awal pekan ini, LockBitSupp, figur publik dari operasi ransomware LockBit, mengumumkan bahwa grup tersebut kembali berbisnis dengan infrastruktur yang lebih besar untuk memberikan akses ke kebocoran yang tidak terpengaruh oleh serangan DDoS.

Serangan DDoS akhir pekan lalu yang menghentikan sementara kebocoran data Entrust dipandang sebagai peluang untuk mengeksplorasi taktik pemerasan rangkap tiga untuk menerapkan lebih banyak tekanan pada korban untuk membayar uang tebusan.

LockBitSupp mengatakan bahwa operator ransomware sekarang ingin menambahkan DDoS sebagai taktik pemerasan selain mengenkripsi data dan membocorkannya.

Geng juga berjanji untuk membagikan lebih dari 300GB data yang dicuri dari Entrust sehingga “seluruh dunia akan tahu rahasia Anda.”

Juru bicara LockBit mengatakan bahwa mereka akan membagikan kebocoran data Entrust secara pribadi dengan siapa pun yang menghubungi mereka sebelum membuatnya tersedia melalui torrent.

Tampaknya LockBit telah menepati janjinya dan merilis torrent akhir pekan ini yang disebut “entrust.com” dengan file 343GB.

Lockbit ransomware bocor Entrust data
sumber: Artie Yamamoto

Operator ingin memastikan bahwa data Entrust tersedia dari berbagai sumber dan, selain mempublikasikannya di situs mereka, mereka juga membagikan torrent melalui setidaknya dua layanan penyimpanan file, dengan salah satunya tidak lagi tersedia.

Salah satu metode yang sudah diterapkan untuk mencegah serangan DDoS lebih lanjut adalah dengan menggunakan tautan unik dalam catatan tebusan untuk para korban.

Mereka juga mengumumkan peningkatan jumlah mirror dan server duplikat, dan rencana untuk meningkatkan ketersediaan data yang dicuri dengan membuatnya dapat diakses melalui clearnet juga, melalui layanan penyimpanan antipeluru.

Lockbit ransomware changes after suffering DDoS attack
source: BleepingComputer

Operasi ransomware LockBit telah aktif selama hampir tiga tahun, sejak September 2019. Pada saat penulisan, situs kebocoran data LockBit aktif dan berjalan.

Geng itu mendaftarkan lebih dari 700 korban dan Entrust adalah salah satunya, dengan data perusahaan bocor pada 27 Agustus.

Sumber: Bleeping Computer

LockBit ransomware menyalahkan Entrust atas serangan DDoS di situs kebocoran

by

Situs kebocoran data operasi ransomware LockBit telah ditutup selama akhir pekan karena serangan DDoS yang meminta mereka untuk menghapus data yang diduga dicuri Entrust.

Pada akhir Juli, raksasa keamanan digital Entrust mengkonfirmasi serangan siber yang mengungkapkan bahwa pelaku ancaman telah mencuri data dari jaringannya selama intrusi pada bulan Juni.

Pekan lalu, LockBit mengaku bertanggung jawab atas serangan itu dan mulai membocorkan data pada Jumat malam.

Kebocoran ini terdiri dari 30 tangkapan layar data yang diduga dicuri dari Entrust, termasuk dokumen hukum, spreadsheet pemasaran, dan data akuntansi.

Dugaan data Entrust bocor di situs kebocoran data LockBit
Sumber: Dominic Alvieri

Segera setelah mereka mulai membocorkan data, para peneliti mulai melaporkan bahwa situs kebocoran data Tor milik geng ransomware tidak tersedia karena serangan DDoS.

Kemarin, grup riset keamanan VX-Underground mengetahui dari LockBitSupp, perwakilan operasi ransomware LockBit yang menghadap publik, bahwa situs Tor mereka diserang oleh seseorang yang mereka yakini terhubung dengan Entrust.

Seperti yang Anda lihat dari permintaan HTTPS ini, penyerang menambahkan pesan ke LockBit di bidang agen pengguna browser yang memberi tahu mereka untuk menghapus data Entrust.

Permintaan HTTPS DDoS dengan pesan ke LockBit

Peneliti Cisco Talos Azim Shukuhi mentweet bahwa serangan DDoS pada server LockBit terdiri dari “400 permintaan per detik dari lebih dari 1000 server.”

Sebagai pembalasan atas serangan itu, situs kebocoran data LockBit sekarang menampilkan pesan peringatan bahwa geng ransomware berencana untuk mengunggah semua data Entrust sebagai torrent, yang membuatnya hampir mustahil untuk dihapus.

Selanjutnya, para pelaku ancaman telah berbagi dugaan negosiasi antara Entrust dan geng ransomware dengan peneliti keamanan Soufiane Tahiri. Obrolan ini menunjukkan bahwa permintaan tebusan awal adalah $8 juta dan kemudian turun menjadi $6,8 juta.

LockBitSupp mengatakan bahwa perusahaan keamanan siber lain, Accenture, juga melakukan serangan serupa terhadap situs kebocoran data mereka tetapi kurang berhasil.

Situs kebocoran data operasi ransomware ALPHV juga turun akhir pekan ini dalam apa yang diyakini sebagai serangan DDoS. Namun, tidak diketahui apakah kedua serangan itu terkait.

Tidak jelas apakah Entrust, sebuah perusahaan keamanan siber yang berafiliasi, atau hanya aktor ancaman saingan mengambil keuntungan dari situasi dengan melakukan serangan.

Peneliti keamanan tidak yakin siapa yang menyerang LockBit, dengan beberapa mengatakan bahwa itu akan menjadi hal yang belum pernah terjadi sebelumnya bagi perusahaan keamanan siber untuk melakukan serangan seperti ini.

Meskipun kita mungkin tidak akan pernah tahu siapa yang berada di balik serangan ini, ini telah menunjukkan seberapa efektif serangan seperti ini dalam mengganggu operasi geng ransomware.

Sumber: Bleeping Computer

Google memblokir serangan HTTPS DDoS terbesar ‘dilaporkan hingga saat ini’

by

Pelanggan Google Cloud Armor terkena serangan distributed denial-of-service (DDoS) melalui protokol HTTPS yang mencapai 46 juta permintaan per detik (RPS), menjadikannya yang terbesar yang pernah tercatat dari jenisnya.

Hanya dalam dua menit, serangan meningkat dari 100.000 RPS menjadi 46 juta RPS yang memecahkan rekor, hampir 80% lebih tinggi dari rekor sebelumnya, HTTPS DDoS sebesar 26 juta RPS yang dimitigasi Cloudflare pada bulan Juni.

Serangan dimulai pada pagi hari tanggal 1 Juni, pukul 09:45 Waktu Pasifik, dan menargetkan Penyeimbang Beban HTTP/S korban pada awalnya hanya dengan 10.000 RPS.

Dalam delapan menit, serangan meningkat menjadi 100.000 RPS dan Google Cloud Armor Protection dimulai dengan menghasilkan peringatan dan tanda tangan berdasarkan data tertentu yang diambil dari analisis lalu lintas.

Dua menit kemudian, serangan memuncak pada 46 juta permintaan per detik:

Serangan HTTPS DDoS memuncak pada 46 juta permintaan per detik
sumber: Google

Untuk melihat seberapa besar serangan itu pada puncaknya, Google mengatakan bahwa itu setara dengan mendapatkan semua permintaan harian ke Wikipedia hanya dalam 10 detik.

Untungnya, pelanggan telah menerapkan aturan yang direkomendasikan dari Cloud Armor yang memungkinkan operasi berjalan normal. Serangan itu berakhir 69 menit setelah dimulai.

Malware di balik serangan itu belum ditentukan tetapi distribusi geografis layanan yang digunakan menunjuk ke Mēris, botnet yang bertanggung jawab atas serangan DDoS yang mencapai puncaknya pada 17,2 juta RPS dan 21,8 juta RPS, keduanya memecahkan rekor pada masanya.

Mēris dikenal karena menggunakan proxy yang tidak aman untuk mengirimkan lalu lintas yang buruk, dalam upaya untuk menyembunyikan asal serangan.

Peneliti Google mengatakan bahwa lalu lintas serangan datang dari hanya 5.256 alamat IP yang tersebar di 132 negara dan permintaan terenkripsi leverage (HTTPS), menunjukkan bahwa perangkat yang mengirim permintaan memiliki sumber daya komputasi yang cukup kuat.

Karakteristik lain dari serangan ini adalah penggunaan node keluar Tor untuk mengirimkan lalu lintas. Meskipun hampir 22% atau 1.169 sumber menyalurkan permintaan melalui jaringan Tor, mereka hanya menyumbang 3% dari lalu lintas serangan.

Meskipun demikian, peneliti Google percaya bahwa node keluar Tor dapat digunakan untuk mengirimkan “sejumlah besar lalu lintas yang tidak diinginkan ke aplikasi dan layanan web.”

Mulai tahun lalu, era serangan DDoS volumetrik yang memecahkan rekor dimulai dengan beberapa botnet yang memanfaatkan sejumlah kecil perangkat kuat untuk mencapai berbagai target.

Pada September 2021, botnet Mēris menghantam raksasa internet Rusia Yandex dengan serangan yang mencapai 21,8 juta permintaan per detik. Sebelumnya, botnet yang sama mendorong 17,2 juta RPS terhadap pelanggan Cloudflare.

November lalu, platform perlindungan Azure DDoS Microsoft mengurangi serangan besar-besaran 3,47 terabit per detik dengan kecepatan paket 340 juta paket per detik (pps) untuk pelanggan di Asia.

Pelanggan Cloudflare lainnya terkena DDoS mencapai 26 juta RPS.

Sumber: Bleeping Computer

Meningkatnya Jumlah Serangan Malware dengan Memanfaatkan Dark Utilities ‘C2-as-a-Service’

by

Layanan baru yang disebut Dark Utilities telah menarik 3.000 pengguna karena kemampuannya untuk menyediakan layanan command-and-control (C2) dengan tujuan menguasai sistem yang dikompromikan.

“Ini dipasarkan sebagai sarana untuk mengaktifkan akses jarak jauh, eksekusi perintah, serangan penolakan layanan terdistribusi (DDoS) dan operasi penambangan cryptocurrency pada sistem yang terinfeksi,” kata Cisco Talos dalam sebuah laporan yang dibagikan dengan The Hacker News.

Dark Utilities, yang muncul pada awal 2022, diiklankan sebagai “C2-as-a-Service” (C2aaS), menawarkan akses ke infrastruktur yang di-hosting di clearnet serta jaringan TOR dan muatan terkait dengan dukungan untuk Windows, Linux, dan implementasi berbasis Python hanya dengan €9,99.

Pengguna yang diautentikasi pada platform disajikan dengan dasbor yang memungkinkan untuk menghasilkan muatan baru yang disesuaikan dengan sistem operasi tertentu yang kemudian dapat digunakan dan dijalankan pada host korban.

Selain itu, pengguna diberikan panel administratif untuk menjalankan perintah pada mesin di bawah kendali mereka saat membuat saluran C2 aktif, yang secara efektif memberikan penyerang akses penuh ke sistem.

Idenya adalah untuk memungkinkan aktor ancaman untuk menargetkan beberapa arsitektur tanpa memerlukan upaya pengembangan yang signifikan. Juga diperluas ke pelanggannya adalah dukungan teknis dan bantuan melalui Discord dan Telegram.

“Mengingat biaya yang relatif rendah dibandingkan dengan jumlah fungsionalitas yang ditawarkan platform, kemungkinan menarik bagi musuh yang mencoba untuk berkompromi dengan sistem tanpa mengharuskan mereka untuk membuat implementasi C2 mereka sendiri di dalam muatan malware mereka,” catat para peneliti.

Untuk menambah bahan bakar ke api, artefak malware di-host dalam solusi Sistem File InterPlanetary (IPFS) terdesentralisasi, membuatnya tahan terhadap moderasi konten atau intervensi penegakan hukum dengan cara yang mirip dengan “hosting antipeluru.”

“IPFS saat ini disalahgunakan oleh berbagai pelaku ancaman yang menggunakannya untuk meng-host konten berbahaya sebagai bagian dari kampanye distribusi phishing dan malware,” kata peneliti Talos Edmund Brumaghin kepada The Hacker News.

“[Gateway IPFS] memungkinkan komputer di internet untuk mengakses konten yang dihosting dalam jaringan IPFS tanpa persyaratan untuk instalasi perangkat lunak klien, mirip dengan cara gateway Tor2Web menyediakan fungsionalitas itu untuk konten yang dihosting dalam jaringan Tor.”

Dark Utilities diyakini sebagai hasil karya aktor ancaman yang menggunakan moniker Inplex-sys di ruang bawah tanah cybercriminal, dengan Talos mengidentifikasi semacam “hubungan kolaboratif” antara Inplex-sys dan salah satu operator layanan botnet disebut Bot Cerdas.

Sumber: The Hacker News

Kampanye Peretasan Pro-Rusia Merajalela di Ukraina

by

Pelaku ancaman pro-Rusia melanjutkan pengejaran tanpa henti mereka terhadap target Ukraina, dengan serangkaian kampanye yang mencakup aplikasi Android palsu, serangan peretasan yang mengeksploitasi kerentanan kritis, dan serangan phishing email yang mencoba mengambil kredensial login, kata peneliti dari Google.

Salah satu kampanye baru-baru ini datang dari Turla, aktor ancaman gigih tingkat lanjut berbahasa Rusia yang telah aktif setidaknya sejak 1997 dan merupakan salah satu yang paling canggih secara teknis di dunia. Menurut Google, kelompok tersebut menargetkan sukarelawan pro-Ukraina dengan aplikasi Android yang berperan sebagai landasan peluncuran untuk melakukan serangan penolakan layanan terhadap situs web Rusia.

“Yang perlu Anda lakukan untuk meluncurkan prosesnya adalah menginstal aplikasi, membukanya dan tekan mulai,” klaim situs palsu yang mempromosikan aplikasi tersebut. “Aplikasi segera mulai mengirim permintaan ke situs web Rusia untuk membanjiri sumber daya mereka dan menyebabkan penolakan layanan.”

Faktanya, aplikasi mengirimkan satu permintaan GET ke situs web target. Di balik layar, peneliti Google yang berbeda mengatakan kepada Vice bahwa aplikasi tersebut dirancang untuk memetakan infrastruktur Internet pengguna dan “mencari tahu di mana orang-orang yang berpotensi melakukan serangan semacam ini.”

Aplikasi, yang dihosting di domain spoofing Resimen Azov Ukraina, meniru aplikasi Android lain yang pertama kali dilihat Google pada bulan Maret yang juga mengklaim melakukan serangan DoS terhadap situs Rusia. Tidak seperti aplikasi Turla, stopwar.apk, seperti nama aplikasi yang terakhir, mengirimkan aliran permintaan terus-menerus hingga pengguna menghentikannya.

“Berdasarkan analisis kami, kami percaya bahwa aplikasi StopWar dikembangkan oleh pengembang pro-Ukraina dan menjadi inspirasi bagi aktor Turla yang mendasari aplikasi CyberAzov DoS palsu mereka,” tulis peneliti Google Billy Leonard.

Kelompok peretas lain yang disponsori oleh Kremlin juga menargetkan kelompok Ukraina. Kampanye termasuk eksploitasi Follina, nama yang diberikan untuk kerentanan kritis di semua versi Windows yang didukung yang secara aktif ditargetkan di alam liar selama lebih dari dua bulan sebagai zero-day.

Peneliti Google mengkonfirmasi laporan CERT-UA dari bulan Juni yang mengatakan kelompok peretasan berbeda yang disponsori Kremlin — dilacak dengan berbagai nama termasuk Fancy Bear, yang dikenal sebagai Pawn Storm, Sofacy Group, dan APT28 — juga mengeksploitasi Follina dalam upaya untuk menginfeksi target dengan malware yang dikenal sebagai CredoMap. Selain itu, Google mengatakan bahwa Sandworm—kelompok lain yang disponsori oleh pemerintah Rusia—juga mengeksploitasi Follina. Kampanye itu menggunakan akun pemerintah yang disusupi untuk mengirim tautan ke dokumen Microsoft Office yang dihosting di domain yang disusupi, terutama menargetkan organisasi media di Ukraina.

Perusahaan keamanan Palo Alto Networks, sementara itu, melaporkan pada hari Selasa bahwa kelompok peretasan Cloaked Ursa Rusia (juga dikenal sebagai APT29, Nobelium, dan Cozy Bear) juga telah meningkatkan serangan malware sejak dimulainya invasi Rusia ke Ukraina, sebagian dengan membuat file berbahaya. untuk diunduh tersedia di Dropbox dan Google Drive. Badan intelijen AS dan Inggris secara terbuka mengaitkan APT29 dengan Badan Intelijen Asing (SVR) Rusia.

“Ini sejalan dengan fokus penargetan historis grup, sejak kampanye malware melawan Chechnya dan negara-negara bekas blok Soviet lainnya pada 2008,” tulis peneliti Palo Alto Networks, Mike Harbison dan Peter Renals. Baru-baru ini, APT29 telah dikaitkan dengan peretasan Komite Nasional Demokrat AS yang ditemukan pada tahun 2016 dan serangan rantai pasokan SolarWinds dari tahun 2020.

Baru-baru ini, seorang aktor bermotivasi finansial yang dilacak sebagai UAC-0098 meniru Layanan Pajak Negara Ukraina dan mengirimkan dokumen jahat yang berusaha mengeksploitasi Follina. Google mengatakan aktor tersebut adalah mantan broker akses ransomware awal yang sebelumnya bekerja dengan grup ransomware Conti.

“Agresi militer Rusia yang tidak beralasan dan tidak dapat dibenarkan terhadap Ukraina telah disertai dengan peningkatan signifikan aktivitas siber berbahaya, termasuk sejumlah peretas dan kelompok peretas yang menyerang dan mengkhawatirkan tanpa pandang bulu yang menargetkan entitas penting secara global,” tulis pejabat Uni Eropa. “Peningkatan aktivitas siber berbahaya ini, dalam konteks perang melawan Ukraina, menciptakan risiko efek limpahan yang tidak dapat diterima, salah tafsir, dan kemungkinan eskalasi.”

Sumber: Ars Technica