Cyberthreat.id - Sebuah kelompok hacker sewaan berbahasa Rusia diam-diam memata-matai ribuan individu dan organisasi di seluruh dunia dan menjual informasi yang sangat pribadi tentang mereka ke berbagai pelanggan, dimotivasi oleh keuntungan finansial dan agenda politik.

Para peneliti dari Trend Micro yang telah melacak aktivitas kelompok tentara bayaran dunia maya menyebutnya Void Balaur, merujuk pada makhluk legendaris berkepala banyak dalam cerita rakyat Eropa Timur.

Dalam sebuah laporan di konferensi Black Hat Europe 2021 minggu ini, para peneliti menggambarkan kelompok itu kemungkinan aktif sejak awal September 2015.

Layanan Void Balaur termasuk membobol dan mencuri data dari akun email dan memperoleh dan menjual berbagai data pribadi sensitif milik individu yang ditargetkan.

Informasi yang diperoleh dan dijual kepada pelanggannya termasuk rincian paspor, pesan SMS, catatan panggilan telepon (termasuk data log menara seluler), informasi dan lokasi penelepon, informasi tentang tiket yang dibeli untuk perjalanan pesawat dan kereta api melintasi perbatasan, Catatan Interpol (jika ada), dan laporan kredit.

Sasarannya termasuk politisi, aktivis hak asasi manusia, oposisi, ilmuwan, dokter, jurnalis, dan insinyur.

Penelitian Trend Micro menunjukkan bahwa selama periode 18 bulan, Void Balaur telah mencuri data dari lebih dari 3.500 target, beberapa di antaranya mengalami serangan yang berlangsung lama dan berulang.

Di antara para korban adalah politisi di Uzbekistan dan Belarusia serta negara-negara lain, termasuk Ukraina, Rusia, Norwegia, Prancis, Italia, dan Armenia.

Trend Micro mengatakan telah menemukan hubungan pelaku ancaman dengan serangan di Uzbekistan yang dilaporkan Amnesty International tahun lalu memiliki dampak serius pada kehidupan beberapa individu di negara itu. Beberapa korban merasa sangat terancam oleh aktivitas Void Balaur sehingga mereka meninggalkan negara mereka dan mengasingkan diri di negara lain, kata Trend Micro.

Pada tahun 2020, kelompok itu juga terlihat menargetkan kandidat presiden untuk pemilihan Belarusia 2020. Pada Agustus 2021, kelompok itu juga menargetkan politisi dan pejabat pemerintah di Ukraina, Slovakia, Rusia, Kazakhstan, Armenia, Norwegia, Prancis, dan Italia.

Dalam serangan yang lebih berani, pada bulan September 2021, kelompok tersebut juga mencoba untuk mendapatkan akses ke kotak masuk email milik  “mantan kepala badan intelijen, lima menteri pemerintah yang aktif (termasuk menteri pertahanan) dan dua anggota parlemen nasional  sebuah negara Eropa Timur.”

“Beberapa dari serangan ini adalah bagian dari kampanye yang lebih besar dan tidak terbatas pada serangan melalui internet saja. Beberapa korban merasa sangat terancam sehingga mereka meninggalkan negara asal mereka dan pergi ke pengasingan,” kata Trend Micro. yang menganggap Void Balaur sebagai tentara bayaran cyber berpotensi dipekerjakan oleh siapa saja.

Target Void Balaur bervariasi. Target bisa menjadi toko lokal di Moskow, perancang busana di New York, jurnalis terkenal, dokter medis di Ukraina, ilmuwan hewan di India, ilmuwan medis di Brasil, tentara bayaran militer di Afrika Selatan, atau seorang politisi yang tidak melihat pilihan lain selain pergi ke pengasingan di luar negeri."

Feike Hacquebord, peneliti ancaman senior di Trend Micro dan penulis laporan Trend Micro, mengatakan pihaknya tidak dapat mengidentifikasi pelanggan Void Balaur. Beberapa dari mereka tampaknya adalah anggota forum bawah tanah — seperti Probiv, Darkmoney, dan Tenec — yang memperdagangkan semua jenis data dan kredensial yang dicuri. Namun, kecil kemungkinannya  anggota ini mewakili sebagian besar pelanggan grup ancaman.

"Void Balaur [telah] aktif di forum bawah tanah seperti Probiv [hanya] sejak 2018, sementara kami dapat melacak aktivitas hingga 2015," kata Hacquebord.

"Ini menunjukkan bahwa pelanggan yang produktif menemukan jalan mereka ke Void Balaur, bahkan sebelum mereka aktif di forum bawah tanah," tambahnya.

Taktik, Teknik, dan Prosedur Grup Tidak Jelas

Peneliti Trend Micro sejauh ini tidak dapat mengidentifikasi dengan tepat bagaimana anggota Void Balaur berhasil mengakses beberapa data yang mereka sediakan untuk dijual selama beberapa tahun terakhir.

Misalnya, sementara dalam beberapa kasus grup tampaknya telah mengakses akun email melalui phishing kredensial dan menggunakan eksploitasi zero-click zero-day, dalam kasus lain tampaknya telah berhasil memperoleh salinan kotak surat tanpa interaksi pengguna.

Beberapa cara yang mungkin mereka lakukan: dengan meminta karyawan kunci di beberapa penyedia email untuk secara sadar menjual data atau dengan mengkompromikan akun karyawan kunci dengan akses ke kotak surat email yang ditargetkan.

Skenario lain adalah bahwa pelaku ancaman berhasil menyusup ke akun personel penegak hukum dengan akses hukum ke kotak surat yang disusupi, atau sistem penyedia email dilanggar.

Demikian pula, tidak jelas bagaimana Void Balaur dapat memperoleh catatan panggilan yang sensitif dan lengkap dengan dan tanpa informasi menara seluler. Trend Micro berteori bahwa anggota grup mungkin telah menyuap orang dalam di perusahaan telekomunikasi untuk mendapatkan data tersebut. Kemungkinan lain adalah bahwa pelaku ancaman berhasil mengkompromikan akun milik personel manajemen kunci dan insinyur di perusahaan telekomunikasi besar.

Data yang dianalisis Trend Micro, misalnya, menunjukkan bahwa Void Balaur pada berbagai waktu menargetkan wakil direktur sebuah perusahaan telekomunikasi Rusia; insinyur jaringan senior di perusahaan telekomunikasi di AS, Inggris, dan Rusia; dan jaringan produsen peralatan seluler di Rusia dan perusahaan navigasi radio di negara yang sama.

Organisasi lain yang menjadi sasaran termasuk perusahaan seluler, vendor peralatan seluler, perusahaan komunikasi satelit, produsen ATM, vendor sistem point-of-sale, perusahaan keuangan, dan perusahaan bioteknologi.

Umpan balik tentang kelompok ini di forum bawah tanah cukup positif, kata Hacquebord.

Beberapa pelanggan menggambarkan Void Balaur sangat cepat menyampaikan informasi kepada mereka. Namun, beberapa kampanye yang dilacak Trend Micro menunjukkan bahwa grup tersebut juga telah terlibat dalam kampanye yang menargetkan satu organisasi atau grup organisasi tertentu selama periode yang diperpanjang.

"Misalnya, untuk satu oligarki tertentu, kami telah melihat bahwa CEO perusahaannya, anggota keluarganya, dan anggota dewannya menjadi sasaran selama lebih dari satu tahun," kata Hacquebord.

Dalam satu kasus lain, kelompok ancaman menargetkan mantan kepala badan intelijen dan kemudian beberapa menteri dan anggota parlemen dari pemerintah negara yang sama. Beberapa minggu kemudian, pengacara mantan kepala intelijen dan bahkan hakim yang memutuskan kasus dugaan korupsi menjadi sasaran operasi yang sama.

"Dengan kata lain, beberapa kampanye sangat panjang dan melibatkan banyak target," kata Hacquebord.

Untuk organisasi perusahaan, karyawan mereka bisa menjadi target tentara bayaran cyber melalui akun email pribadi atau perusahaan mereka. Seperti yang telah ditunjukkan oleh Void Balaur, kelompok seperti itu dapat bertahan dan menyerang dalam waktu yang lama. "Membela melawan tentara bayaran cyber mudah dan sulit," catat Hacquebord.

"Nasihat umum keamanan dasar dunia maya tidak cukup untuk bertahan melawan zero-days dan tentara bayaran cyber yang entah bagaimana bisa mendapatkan informasi sensitif [dari] penyedia layanan."[]