Cyberthreat.id – Pusat Keamanan Siber Nasional (NCSC) Inggris mengeluarkan peringatan keamanan terkait dengan serangan siber yang diduga melibatkan Dinas Intelijen Asing Rusia (SVR).

Peringatan itu dikeluarkan NCSC bersama Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat, Biro Investigasi Federal (FBI) dan Badan Keamanan Nasional (NSA) AS untuk seluruh instansi baik publik maupun swasta.

NCSC mengatakan, peretas (hacker) telah memperbarui TTP-nya dalam upaya menerobos jaringan dan menghindari deteksi antimalware. Oleh karenanya, dalam nasihat keamanan itu juga disertai taktik, teknik, dan prosedur (TTP) yang diduga terkait peretas yang dikendalikan oleh SVR. 

Salah satu pembaruan yang dilakukan, yaitu pada tools yang dipakainya bernama “Sliver”, alat sumber terbuka yang biasa digunakan red team (tim yang didesain untuk mengeksploitasi atau menguji jaringan) dalam sebuah organisasi.

Sliver yang memang didesain untuk uji penetrasi oleh peneliti keamanan secarah sah, tapi disalahgunakan oleh para peretas, salah satunya untuk menyerang SolarWinds.

Peretas yang diduga terkait SVR, kata laporan itu, dikenal oleh peneliti keamanan siber dengan sebutan “APT29”, “Cozy Bear”, dan “The Dukes”. Penyerang juga diyakini terkait serangan ke SolarWinds.

"SVR adalah aktor dunia maya yang berteknologi canggih dan berkemampuan tinggi. Mereka telah mengembangkan kemampuan untuk menargetkan organisasi secara global, termasuk di Inggris, AS, Eropa, negara-negara anggota NATO dan tetangga Rusia," kata laporan itu, dikutip dari ZDNet, diakses Minggu (9 Mei 2021).

Dalam kasus terbaru, Silver sedang disalahgunakan untuk mengkonsolidasikan akses ke jaringan yang disusupi dengan “WellMess” dan “WellMail”, malware khusus yang terkait dengan serangan SVR.

Pintu masuk WellMess dan WellMail yaitu memanfaatkan sejumlah kerentanan—sejumlah kerentanan ini sebetulnya juga telah tersedia tambalannya, antara lain:

• CVE-2018-13379 FortiGate
• CVE-2019-1653 router Cisco
• CVE-2019-2725 server Oracle WebLogic
• CVE-2019-9670 Zimbra
• CVE-2019-11510 Pulse Sescure
• CVE-2019-19781 Citrix
• CVE-2019-7609 Kibana
• CVE-2020-4006 VMWare
• CVE-2020-5902 F5 Big-IP
• CVE-2020-14882 Oracle WebLogic
• CVE-2021-21972 VMWare vSphere

Kerentanan Microsoft Exchange Server juga menjadi target peretas Rusia, meliputi:

• CVE-2021-26857 (SOAP payload)
• CVE-2021-26858 (Arbitrary files)
• CVE-2021-27065 (Arbitrary files)

Kemungkinan akan ada daftar kerentanan lainnya yang menjadi target peretas yang terkait SVR ini. Namun, organisasi atau perusahaan yang menggunakan perangkat atau produk yang ada dalam daftar kerentanan itu diminta untuk menambal kerentanannya segera.

Selain menambal kerentanan, perusahaan/lembaga pemerintah menerapkan otentikasi multi-faktor (MFA) untuk membantu melindungi jaringan dari serangan, terutama jika kata sandi telah dibobol.[]

Redaktur: Andi Nugroho