Kelompok peretas Sandworm yang tangguh telah memainkan peran penting dalam mendukung tujuan militer Rusia di Ukraina selama dua tahun terakhir, bahkan ketika mereka telah meningkatkan operasi ancaman siber di wilayah lain yang memiliki kepentingan politik, ekonomi, dan militer strategis bagi Rusia.

Itulah hasil analisis aktivitas pelaku ancaman yang dilakukan oleh grup keamanan Mandiant Google Cloud. Mereka menemukan bahwa Sandworm – atau APT44, sebagaimana dilacak oleh Mandiant – bertanggung jawab atas hampir semua serangan siber yang mengganggu dan merusak di Ukraina sejak invasi Rusia pada Februari 2022.

Dalam prosesnya, pelaku ancaman memantapkan dirinya sebagai unit serangan siber utama di Direktorat Intelijen Utama (GRU) Rusia dan di antara semua kelompok siber yang didukung negara Rusia, menurut penilaian Mandiant. Tidak ada perusahaan siber lain yang terintegrasi sepenuhnya dengan operator militer Rusia seperti Sandworm saat ini, kata vendor keamanan tersebut dalam sebuah laporan minggu ini yang memberikan gambaran rinci tentang alat, teknik, dan praktik kelompok tersebut.

“Operasi APT44 mempunyai cakupan global dan mencerminkan kepentingan dan ambisi nasional Rusia yang luas,” Mandiant memperingatkan. “Bahkan ketika perang sedang berlangsung, kami telah mengamati kelompok ini mempertahankan akses dan operasi spionase di Amerika Utara, Eropa, Timur Tengah, Asia Tengah, dan Amerika Latin.”

Salah satu wujud perluasan mandat global Sandworm adalah serangkaian serangan terhadap tiga fasilitas air dan pembangkit listrik tenaga air di AS dan Prancis awal tahun ini oleh kelompok peretas bernama CyberArmyofRussia_Reborn, yang diyakini Mandiant dikendalikan oleh Sandworm.

Serangan tersebut – yang tampaknya lebih merupakan demonstrasi kemampuan dibandingkan apa pun – menyebabkan kegagalan fungsi sistem di salah satu fasilitas perairan AS yang diserang. Pada bulan Oktober 2022, sebuah kelompok yang diyakini Mandiant sebagai APT44 menyebarkan ransomware terhadap penyedia logistik di Polandia, sebuah kasus yang jarang terjadi ketika mereka mengerahkan kemampuan mengganggu terhadap negara NATO.

Mandat Global

Sandworm adalah aktor ancaman yang telah aktif selama lebih dari satu dekade. Ini terkenal dengan banyak serangan tingkat tinggi seperti yang terjadi pada tahun 2022 itu mematikan sebagian jaringan listrik Ukraina sesaat sebelum serangan rudal Rusia; itu Wabah ransomware NotPetya tahun 2017, dan penyerangan pada upacara pembukaan Pertandingan Olimpiade Pyeongchang di Korea Selatan. Kelompok ini biasanya menargetkan pemerintah dan organisasi infrastruktur penting, termasuk mereka yang bergerak di sektor pertahanan, transportasi, dan energi. Pemerintah AS dan pihak lain mengaitkan operasi tersebut dengan unit siber di GRU Rusia. Pada tahun 2020, Departemen Kehakiman AS mendakwa beberapa perwira militer Rusia atas dugaan peran mereka dalam berbagai kampanye Sandworm.

“APT44 memiliki cakupan penargetan yang sangat luas,” kata Dan Black, analis utama di Mandiant. “Organisasi yang mengembangkan perangkat lunak atau teknologi lain untuk sistem kontrol industri dan komponen infrastruktur penting lainnya harus menjadikan APT44 sebagai yang terdepan dalam model ancaman mereka.”

Gabby Roncone, analis senior di tim Praktik Lanjutan Mandiant, memasukkan organisasi media ke dalam target APT44/Sandworm, terutama selama pemilu. “Banyak pemilu penting yang sangat menarik perhatian Rusia diadakan tahun ini, dan APT44 mungkin berusaha menjadi pemain kunci” di dalamnya, kata Roncone.

Mandiant sendiri telah melacak APT44 sebagai unit intelijen militer Rusia. “Kami melacak ekosistem eksternal kompleks yang memungkinkan operasi mereka, termasuk badan penelitian milik negara dan perusahaan swasta,” tambah Roncone.

Di Ukraina, serangan Sandworm semakin terfokus pada aktivitas spionase dengan tujuan mengumpulkan informasi untuk keuntungan medan perang pasukan militer Rusia, kata Mandiant. Dalam banyak kasus, taktik favorit pelaku ancaman untuk mendapatkan akses awal ke jaringan target adalah melalui eksploitasi router, VPN, dan lainnya. infrastruktur tepi. Ini adalah taktik yang semakin sering digunakan oleh pelaku ancaman sejak invasi Rusia ke Ukraina. Meskipun kelompok ini telah mengumpulkan banyak koleksi alat serangan yang dibuat khusus, mereka sering kali mengandalkan alat yang sah dan teknik hidup di luar negeri untuk menghindari deteksi.

Musuh yang Sulit Dipahami

“APT44 mahir terbang di bawah deteksi radar. Membangun deteksi untuk alat open source yang sering disalahgunakan dan metode hidup di luar lahan sangatlah penting,” kata Black.

Roncone juga menganjurkan agar organisasi memetakan dan memelihara lingkungan jaringan mereka dan mensegmentasi jaringan jika memungkinkan karena kecenderungan Sandworm untuk menargetkan infrastruktur edge yang rentan untuk masuk dan masuk kembali ke dalam lingkungan. “Organisasi juga harus mewaspadai APT44 yang berputar antara tujuan spionase dan mengganggu setelah mendapatkan akses ke jaringan,” catat Roncone. “Bagi mereka yang bekerja di media dan organisasi media pada khususnya, pelatihan keselamatan digital bagi masing-masing jurnalis adalah kuncinya.”

Black dan Roncone menganggap penggunaan peretasan oleh APT44/Sandworm seperti CyberArmyofRussia_Reborn sebagai upaya untuk menarik perhatian pada kampanyenya dan untuk tujuan penyangkalan.

“Kami telah melihat APT44 berulang kali menggunakan CyberArmyofRussia_Reborn Telegram untuk mengirimkan bukti dan menarik perhatian terhadap aktivitas sabotasenya,” kata Black. “Kami tidak dapat secara meyakinkan menentukan apakah ini merupakan hubungan eksklusif tetapi menilai bahwa APT44 memiliki kemampuan untuk mengarahkan dan mempengaruhi apa yang diposting oleh persona di Telegram.”

Black mengatakan APT44 mungkin menggunakan persona seperti CyberArmyofRussia_Reborn sebagai cara untuk menghindari atribusi langsung jika mereka melewati batas atau memancing tanggapan. “Tetapi [motif] kedua adalah bahwa mereka menciptakan rasa dukungan palsu terhadap perang Rusia – sebuah kesan palsu bahwa rata-rata orang Rusia berusaha untuk bergabung dalam perang siber melawan Ukraina.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/ics-ot-security/-sandworm-group-is-russia-s-primary-cyber-attack-unit-in-ukraine