Cyberthreat.id - Badan Keamanan Siber dan Infrastruktur Amerika Serikat  (CISA) bersama FBI dan NSA pada Selasa (11 Januari 2022) merilis peringatan tentang ancaman siber dari hacker yang didukung negara Rusia yang menargetkan infrastruktur penting AS.

Disebutkan, pelaku ancaman persisten tingkat lanjut (APT) yang terkait dengan Rusia telah diamati menyerang berbagai organisasi AS menggunakan berbagai taktik efektif untuk menembus jaringan mereka, mulai dari akun spearphishing dan brute-forcing hingga mengeksploitasi berbagai macam kerentanan keamanan yang diketahui.

“Aktor APT yang disponsori negara Rusia juga telah menunjukkan kemampuan perdagangan dan siber yang canggih dengan meretas  infrastruktur pihak ketiga, perangkat lunak pihak ketiga, atau mengembangkan dan menyebarkan malware khusus,” bunyi nasihat bersama itu seperti dilansir Bleeping Computer.

"Para aktor juga telah menunjukkan kemampuan untuk mempertahankan akses jangka panjang yang persisten, tidak terdeteksi, di lingkungan yang disusupi —termasuk lingkungan cloud—dengan menggunakan kredensial yang sah.

"Dalam beberapa kasus, operasi siber yang disponsori negara Rusia terhadap organisasi infrastruktur kritis telah secara khusus menargetkan jaringan teknologi operasional (OT)/sistem kontrol industri (ICS) dengan malware yang merusak."

Tiga lembaga federal AS itu menyoroti serangan berikut di mana kelompok APT Rusia — termasuk APT29, APT28, dan Tim Sandworm — telah menggunakan malware destruktif untuk secara khusus menargetkan sistem kontrol industri (ICS) dan jaringan teknologi operasional (OT) milik organisasi infrastruktur penting di seluruh dunia:

• Pelaku APT yang disponsori negara Rusia menargetkan pemerintah negara bagian, lokal, suku, dan teritorial (SLTT) dan jaringan penerbangan, September 2020, hingga setidaknya Desember 2020. Pelaku juga  menargetkan puluhan jaringan pemerintah dan penerbangan SLTT. Para pelaku  berhasil meretas  jaringan dan mengekstrak data dari banyak korban.
   
• Upaya penyusupan sektor energi global oleh aktor APT yang disponsori negara Rusia, 2011 hingga 2018. Aktor APT yang disponsori negara Rusia ini melakukan kampanye penyusupan multi-tahap di mana mereka memperoleh akses jarak jauh ke jaringan Sektor Energi AS dan internasional, menyebarkan malware yang berfokus pada ICS, dan mengumpulkan dan mengekstrak data terkait perusahaan dan ICS.
   
• Upaya berulang oleh aktor APT yang disponsori negara Rusia terhadap infrastruktur kritis Ukraina, 2015 dan 2016. Aktor APT yang disponsori negara Rusia melakukan serangan siber terhadap perusahaan distribusi energi Ukraina, yang menyebabkan beberapa perusahaan mengalami pemadaman listrik yang tidak direncanakan pada bulan Desember 2015. Para aktor menyebarkan malware BlackEnergy untuk mencuri kredensial pengguna dan menggunakan komponen malware perusaknya, KillDisk, untuk membuat komputer yang terinfeksi tidak dapat dioperasikan. Pada tahun 2016, para aktor ini melakukan kampanye intrusi dunia maya terhadap perusahaan transmisi listrik Ukraina dan menyebarkan malware CrashOverride yang dirancang khusus untuk menyerang jaringan listrik.

Organisasi infrastruktur penting AS yang terpapar pada operasi siber yang didukung Rusia disarankan untuk fokus mendeteksi aktivitas jahat mereka dengan menegakkan pengumpulan/retensi log yang kuat dan mencari bukti perilaku atau jaringan dan artefak berbasis host.

Jika mereka mendeteksi potensi aktivitas APT terkait Rusia saat memantau jaringan TI atau OT mereka, mereka juga didorong untuk mengisolasi semua sistem yang berpotensi terpengaruh, mengamankan cadangan mereka, mengumpulkan bukti potensi pelanggaran, dan melaporkan insiden tersebut ke CISA atau FBI setelah meminta bantuan pakar TI yang menangani  respons insiden.[]