Badan Keamanan Siber dan Infrastruktur AS (CISA) memperingatkan bahwa mereka telah mengamati pelaku ancaman memanfaatkan cookie persisten tidak terenkripsi yang dikelola oleh modul F5 BIG-IP Local Traffic Manager (LTM) untuk melakukan pengintaian terhadap jaringan target.
Dikatakan bahwa modul tersebut digunakan untuk menghitung perangkat lain yang tidak terhubung ke internet di jaringan. Namun badan tersebut tidak mengungkapkan siapa yang berada di balik kegiatan tersebut, atau apa tujuan akhir dari kampanye tersebut.
“Seorang pelaku siber yang jahat dapat memanfaatkan informasi yang dikumpulkan dari cookie persistensi yang tidak terenkripsi untuk menyimpulkan atau mengidentifikasi sumber daya jaringan tambahan dan berpotensi mengeksploitasi kerentanan yang ditemukan di perangkat lain yang ada di jaringan,” kata CISA dalam sebuah peringatan.
Mereka juga merekomendasikan organisasi mengenkripsi cookie persisten yang digunakan di perangkat F5 BIG-IP dengan mengonfigurasi enkripsi cookie dalam profil HTTP. Selain itu, mereka juga mendesak pengguna untuk memverifikasi perlindungan sistem mereka dengan menjalankan utilitas diagnostik yang disediakan oleh F5 yang disebut BIG-IP iHealth untuk mengidentifikasi potensi masalah.
“Komponen BIG-IP iHealth Diagnostics dari sistem BIG-IP iHealth mengevaluasi log, keluaran perintah, dan konfigurasi sistem BIG-IP Anda berdasarkan database masalah umum, kesalahan umum, dan praktik terbaik F5 yang dipublikasikan,” F5 mencatat dalam sebuah dokumen pendukung.
“Hasil yang diprioritaskan memberikan umpan balik yang disesuaikan tentang masalah konfigurasi atau cacat kode dan memberikan deskripsi masalah tersebut, [and] rekomendasi untuk resolusi.”
Pengungkapan ini terjadi ketika badan keamanan siber dari Inggris dan Amerika Serikat menerbitkan buletin bersama yang merinci upaya aktor-aktor yang disponsori negara Rusia untuk menargetkan sektor diplomatik, pertahanan, teknologi, dan keuangan untuk mengumpulkan intelijen asing dan memungkinkan operasi siber di masa depan.
Aktivitas tersebut dikaitkan dengan aktor ancaman yang dilacak sebagai APT29, yang juga dikenal sebagai BlueBravo, Cloaked Ursa, Cozy Bear, dan Midnight Blizzard. APT29 dipahami sebagai roda penggerak utama dalam mesin intelijen militer Rusia dan berafiliasi dengan Badan Intelijen Asing (SVR).
“Intrusi siber SVR mencakup fokus besar untuk tetap anonim dan tidak terdeteksi. Para pelaku menggunakan TOR secara ekstensif selama intrusi – mulai dari penargetan awal hingga pengumpulan data – dan di seluruh infrastruktur jaringan,” kata badan-badan tersebut.
“Para pelaku menyewa infrastruktur operasional menggunakan berbagai identitas palsu dan akun email bereputasi rendah. SVR memperoleh infrastruktur dari pengecer penyedia hosting besar.”
Serangan yang dilakukan oleh APT29 telah dikategorikan sebagai serangan yang dirancang untuk mengumpulkan intelijen dan membangun akses yang terus-menerus untuk memfasilitasi kompromi rantai pasokan (yaitu, target yang dimaksudkan), serta serangan yang memungkinkan serangan tersebut menjadi tuan rumah bagi infrastruktur berbahaya atau melakukan operasi lanjutan dari akun yang disusupi dengan memanfaatkan kelemahan yang diketahui publik, kredensial yang lemah, atau kesalahan konfigurasi lainnya (misalnya, target peluang).
Beberapa kerentanan keamanan signifikan yang disorot termasuk CVE-2022-27924, kelemahan injeksi perintah di Kolaborasi Zimbra, dan CVE-2023-42793, bug bypass autentikasi penting yang memungkinkan eksekusi kode jarak jauh di Server TeamCity.
APT29 adalah contoh relevan mengenai pelaku ancaman yang terus-menerus melakukan inovasi taktik, teknik, dan prosedur dalam upaya mereka untuk tetap diam-diam dan menghindari pertahanan, bahkan sampai menghancurkan infrastruktur mereka dan menghapus bukti apa pun jika mereka mencurigai adanya penyusupan yang terdeteksi, baik dengan cara atau dengan cara apa pun. korban atau penegak hukum.
Teknik penting lainnya adalah penggunaan jaringan proxy secara ekstensif, yang terdiri dari penyedia telepon seluler atau layanan internet perumahan, untuk berinteraksi dengan korban yang berlokasi di Amerika Utara dan berbaur dengan lalu lintas yang sah.
“Untuk menghentikan aktivitas ini, organisasi harus melakukan baseline pada perangkat resmi dan menerapkan pengawasan tambahan terhadap sistem yang mengakses sumber daya jaringan mereka yang tidak mematuhi baseline,” kata badan tersebut.
