Pemerintah AS dan koalisi mitra internasional secara resmi mengaitkan kelompok peretas Rusia yang dilacak sebagai Kadet Blizzard ke Staf Umum Direktorat Intelijen Utama (GRU) Pusat Pelatihan Spesialis ke-161 (Unit 29155).
“Aktor siber ini bertanggung jawab atas operasi jaringan komputer terhadap target global untuk tujuan spionase, sabotase, dan kerusakan reputasi setidaknya sejak tahun 2020,” kata lembaga tersebut.
“Sejak awal 2022, fokus utama para pelaku dunia maya tampaknya adalah menargetkan dan mengganggu upaya pemberian bantuan kepada Ukraina.”
Sasaran serangan difokuskan pada infrastruktur penting dan sektor sumber daya utama, termasuk layanan pemerintah, layanan keuangan, sistem transportasi, energi, dan sektor perawatan kesehatan anggota Organisasi Perjanjian Atlantik Utara (NATO), Uni Eropa, Amerika Tengah, dan negara-negara Asia.
Nasihat bersama, yang dirilis minggu lalu sebagai bagian dari latihan terkoordinasi yang dijuluki Operasi Prajurit Mainan, datang dari otoritas keamanan siber dan intelijen di AS, Belanda, Republik Ceko, Jerman, Estonia, Latvia, Ukraina, Kanada, Australia, dan Inggris.
Cadet Blizzard, juga dikenal sebagai Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056, dan UNC2589, menarik perhatian pada Januari 2022 karena menyebarkan malware WhisperGate (alias PAYWIPE) yang merusak terhadap beberapa organisasi korban Ukraina menjelang invasi militer besar-besaran Rusia ke negara tersebut.
Pada bulan Juni 2024, seorang warga negara Rusia berusia 22 tahun bernama Amin Timovich Stigal didakwa di AS atas dugaan perannya dalam melancarkan serangan siber yang merusak terhadap Ukraina menggunakan malware wiper. Meski demikian, penggunaan WhisperGate disebut-sebut bukan hal yang unik bagi kelompok tersebut.
Departemen Kehakiman AS (DoJ) sejak itu telah mendakwa lima petugas yang terkait dengan Unit 29155 atas konspirasi untuk melakukan intrusi komputer dan konspirasi penipuan kawat terhadap target di Ukraina, AS, dan 25 negara NATO lainnya.
Nama kelima petugas tersebut tercantum di bawah ini –
- Yuriy Denisov (Юрий Денисов), seorang kolonel di militer Rusia dan seorang komandan Operasi Cyber untuk Unit 29155
- Vladislav Borovkov (Владислав Боровков), Denis Denisenko (Денис Денисенко), Dmitriy Goloshubov (Дима Голошубов), dan Nikolay Korchagin (Николай Корчагин), letnan di militer Rusia yang ditugaskan di Unit 29 155 yang bekerja pada operasi cyber
“Para terdakwa melakukannya untuk menimbulkan kekhawatiran di kalangan warga Ukraina mengenai keamanan sistem pemerintah dan data pribadi mereka,” kata DoJ. “Target para terdakwa termasuk sistem dan data Pemerintah Ukraina yang tidak memiliki peran terkait militer atau pertahanan. Target selanjutnya termasuk sistem komputer di negara-negara di seluruh dunia yang memberikan dukungan kepada Ukraina.”
Bersamaan dengan dakwaan tersebut, program Hadiah untuk Keadilan Departemen Luar Negeri AS telah mengumumkan hadiah hingga $10 juta untuk informasi tentang lokasi terdakwa atau aktivitas siber jahat mereka.
Indikasinya adalah bahwa Unit 29155 bertanggung jawab atas upaya kudeta, sabotase, dan operasi pengaruh, serta upaya pembunuhan di seluruh Eropa, dengan musuh memperluas cakrawala mereka untuk mencakup operasi cyber ofensif setidaknya sejak tahun 2020.
Tujuan akhir dari intrusi cyber ini adalah untuk mengumpulkan informasi sensitif untuk tujuan spionase, menimbulkan kerusakan reputasi dengan membocorkan data tersebut, dan mengatur operasi destruktif yang bertujuan untuk menyabotase sistem yang berisi data berharga.
Unit 29155, berdasarkan pemberitahuan, diyakini terdiri atas perwira GRU junior yang masih aktif bertugas, yang juga mengandalkan penjahat dunia maya yang diketahui dan pendukung sipil lainnya seperti Stigal untuk memfasilitasi misi mereka.
Tindakan ini meliputi perusakan situs web, pemindaian infrastruktur, eksfiltrasi data, dan operasi kebocoran data yang melibatkan pelepasan informasi pada domain situs web publik atau menjualnya ke pelaku lain.
Rangkaian serangan dimulai dengan aktivitas pemindaian yang memanfaatkan kelemahan keamanan yang diketahui di Atlassian Confluence Server dan Pusat Data, Dahua Security, dan firewall Sophos untuk membobol lingkungan korban, diikuti dengan penggunaan Impacket untuk pasca-eksploitasi dan pergerakan lateral, dan akhirnya mengekstraksi data ke infrastruktur khusus.
“Pelaku siber mungkin telah menggunakan malware Raspberry Robin sebagai perantara akses,” kata lembaga tersebut. “Pelaku siber menargetkan infrastruktur Microsoft Outlook Web Access (OWA) korban dengan password spraying untuk mendapatkan nama pengguna dan kata sandi yang valid.”
Organisasi disarankan untuk memprioritaskan pembaruan sistem rutin dan memperbaiki kerentanan yang diketahui telah dieksploitasi, mengelompokkan jaringan untuk mencegah penyebaran aktivitas berbahaya, dan menerapkan autentikasi multifaktor (MFA) yang tahan terhadap phishing untuk semua layanan akun yang berhubungan dengan eksternal.