
Pelaku ancaman yang terkait dengan Rusia dikaitkan dengan kampanye spionase dunia maya yang menargetkan Kazakhstan sebagai bagian dari upaya Kremlin untuk mengumpulkan intelijen ekonomi dan politik di Asia Tengah.
Kampanye ini dinilai sebagai hasil dari rangkaian intrusi yang dijuluki UAC-0063yang kemungkinan besar memiliki kesamaan dengan APT28, sebuah kelompok negara-bangsa yang berafiliasi dengan Direktorat Intelijen Utama (GRU) Staf Umum Rusia. Ia juga dikenal sebagai Blue Athena, BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy, dan TA422.
UAC-0063 pertama kali didokumentasikan oleh Tim Tanggap Darurat Komputer Ukraina (CERT-UA) pada awal tahun 2023, merinci serangannya terhadap entitas pemerintah menggunakan keluarga malware yang dilacak sebagai HATVIBE, CHERRYSPY, dan STILLARCH (alias DownEx). Perlu diperhatikan bahwa penggunaan jenis malware ini hanya berlaku pada kelompok ini.
Kampanye-kampanye berikutnya telah diamati mengarahkan perhatian mereka pada organisasi-organisasi di Asia Tengah, Asia Timur, dan Eropa, menurut Grup Insikt Recorded Future, yang memberi nama pada kelompok aktivitas tersebut TAG-110.

“Penargetan UAC-0063 menunjukkan fokus pada pengumpulan intelijen di sektor-sektor seperti pemerintahan, termasuk diplomasi, LSM, akademisi, energi, dan pertahanan, dengan fokus geografis di Ukraina, Asia Tengah, dan Eropa Timur,” kata perusahaan keamanan siber Prancis Sekoia dalam sebuah pernyataan. analisis baru.
Rangkaian serangan terbaru melibatkan penggunaan dokumen resmi Microsoft Office yang berasal dari Kementerian Luar Negeri Republik Kazakhstan sebagai umpan spear-phishing untuk mengaktifkan rantai infeksi multi-tahap yang disebut Double-Tap yang menjatuhkan malware HATVIBE. Saat ini tidak diketahui bagaimana dokumen-dokumen ini diperoleh, meskipun mungkin saja dokumen-dokumen tersebut dieksfiltrasi pada kampanye sebelumnya.
Secara khusus, dokumen tersebut dicampur dengan makro berbahaya yang, ketika dijalankan oleh korban, direkayasa untuk membuat dokumen kosong kedua di “C:\Users\[USER]Lokasi \AppData\Local\Temp\”.
“Dokumen kedua ini secara otomatis dibuka dalam contoh Word yang tersembunyi oleh makro awal, untuk menjatuhkan dan mengeksekusi file HTA (Aplikasi HTML) berbahaya yang menyematkan VBS [Visual Basic Script] pintu belakang dijuluki 'HATVIBE,'” kata peneliti Sekoia.
HATVIBE beroperasi sebagai pemuat, menerima modul VBS tahap berikutnya untuk dieksekusi dari server jarak jauh, yang pada akhirnya membuka jalan bagi pintu belakang Python canggih bernama CHERRYSPY. File HTA yang berisi HATVIBE dirancang untuk berjalan selama empat menit dengan meluncurkan mshta.exe.

“Apa yang membuat rantai infeksi Ketuk Dua Kali ini cukup unik adalah bahwa ia menggunakan banyak trik untuk melewati solusi keamanan seperti menyimpan kode makro berbahaya yang sebenarnya di file settings.xml dan membuat tugas terjadwal tanpa memunculkan schtasks.exe untuk dokumen kedua atau menggunakan, untuk dokumen pertama, trik anti-emulasi yang bertujuan untuk melihat apakah waktu eksekusi belum diubah, jika tidak maka makro akan dihentikan,” kata para peneliti.
Sekoia mengatakan rangkaian serangan HATVIBE menunjukkan penargetan dan tumpang tindih teknis dengan kampanye Zebrocy terkait APT28, sehingga memungkinkannya untuk mengaitkan klaster UAC-0063 ke kelompok peretas Rusia dengan tingkat keyakinan sedang.
“Tema dokumen bersenjata spear-phishing menunjukkan kampanye spionase dunia maya yang berfokus pada pengumpulan intelijen strategis mengenai hubungan diplomatik antara negara-negara Asia Tengah, terutama hubungan luar negeri Kazakhstan, oleh intelijen Rusia,” tambah perusahaan itu.
Platform SORM Rusia Dijual di Asia Tengah dan Amerika Latin
Perkembangan ini terjadi ketika Recorded Future mengungkapkan bahwa beberapa negara di Asia Tengah dan Amerika Latin telah membeli teknologi penyadapan System for Operative Investigative Activity (SORM) dari setidaknya delapan penyedia Rusia seperti Citadel, Norsi-Trans, dan Protei, yang berpotensi memungkinkan intelijen Rusia melakukan penyelidikan. lembaga untuk menyadap komunikasi.

SORM Rusia adalah peralatan pengawasan elektronik yang mampu mencegat berbagai lalu lintas internet dan telekomunikasi oleh pihak berwenang tanpa sepengetahuan penyedia layanan itu sendiri. Hal ini memungkinkan pemantauan komunikasi telepon rumah dan seluler, serta lalu lintas internet, Wi-Fi, dan media sosial, yang semuanya dapat disimpan dalam database yang dapat dicari.
Telah dinilai bahwa wilayah bekas Soviet di Belarus, Kazakhstan, Kyrgyzstan, dan Uzbekistan, serta negara-negara Amerika Latin di Kuba dan Nikaragua, kemungkinan besar telah memperoleh teknologi tersebut untuk menyadap warganya.
“Meskipun sistem ini memiliki aplikasi keamanan yang sah, pemerintah […] memiliki sejarah penyalahgunaan kemampuan pengawasan, termasuk penindasan terhadap oposisi politik, jurnalis, dan aktivis, tanpa pengawasan yang efektif dan independen,” kata Insikt Group.
“Secara lebih luas, ekspor teknologi pengawasan Rusia kemungkinan akan terus menawarkan peluang bagi Moskow untuk memperluas pengaruhnya, khususnya di wilayah yang dianggap berada di bawah lingkup tradisional “dekat luar negeri.”