Cyberthreat.id – Peretas yang menjadi bagian dari Federasi Layanan Intelijen Asing (SVR) Rusia, atau dikenal dengan APT29 menggunakan layanan penyimpanan cloud Google Drive yang sah untuk menghindari deteksi.

Dikutip dari Bleeping Computer, kelompok ini mengadopsi taktik baru ini dalam kampanye terbaru yang menargetkan misi diplomatik Barat dan kedutaan asing di seluruh dunia antara awal Mei dan Juni 2022.

Menurut analis dari Unit 42, mereka menggunakan layanan penyimpanan online yang dipercaya oleh jutaan orang di seluruh dunia untuk mengekstrak data dan menyebarkan malware. Mereka juga menyalahgunakan kepercayaan itu untuk membuat serangan mereka menjadi sangat rumit atau bahkan mustahil untuk dideteksi dan diblokir.

“Kami telah menemukan bahwa dua kampanye terbaru mereka memanfaatkan layanan penyimpanan cloud Google Drive untuk pertama kalinya,” kata Analis dari Unit 42.

Namun, seperti yang diungkapkan Mandiant dalam laporan April yang melacak salah satu kampanye phishing grup, ini bukan pertama kalinya peretas APT29 menyalahgunakan layanan web yang sah untuk tujuan perintah-dan-kontrol dan penyimpanan.

Sama seperti dalam kampanye yang diamati oleh Unit 42, Mandiant juga melihat serangan phishing kelompok spionase siber terhadap karyawan dari berbagai organisasi diplomatik di seluruh dunia, sebuah fokus yang konsisten dengan kepentingan strategis geopolitik Rusia saat ini dan penargetan APT29 sebelumnya.

APT29 (juga dilacak Cozy Bear, The Dukes, dan Cloaked Ursa) adalah divisi peretasan Layanan Intelijen Asing Rusia (SVR) yang melakukan serangan rantai pasokan SolarWinds, yang menyebabkan kompromi beberapa agen federal AS pada tahun 2020.Pada akhir Juli, Departemen Kehakiman A.S. adalah pemerintah A.S. terakhir yang mengungkapkan bahwa 27 kantor Pengacara A.S. dibobol selama peretasan global SolarWinds.

“Kemudian, pada April 2021, pemerintah AS secara resmi menyalahkan divisi SVR karena mengoordinasikan kampanye spionase siber SolarWinds yang mengarah pada kompromi beberapa lembaga pemerintah AS,” kata analis tersebut.

Sejak itu, APT29 telah menembus jaringan organisasi lain setelah serangan rantai pasokan SolarWinds, menggunakan malware tersembunyi yang tetap tidak terdeteksi selama bertahun-tahun, termasuk varian backdoor GoldMax Linux dan malware baru yang dilacak sebagai TrailBlazer.

Analis dari Unit 42 menambahkan, Kelompok ini juga menargetkan I.T. rantai pasokan, seperti yang diungkapkan Microsoft pada bulan Oktober, mengorbankan setidaknya 14 perusahaan setelah menyerang sekitar 140 penyedia layanan terkelola (MSP) dan penyedia layanan cloud sejak Mei 2021.

Tidak hanya itu saja, unit 42 juga baru-baru ini mengamati alat simulasi serangan permusuhan Brute Ratel yang digunakan dalam serangan yang diduga terkait dengan mata-mata SVR Rusia. Seperti yang diamati oleh analis ancaman Unit 42 pada saat itu, sampel Brute Rate dikemas dengan cara yang konsisten dengan teknik APT29 yang diketahui dan kampanye terbaru mereka, yang memanfaatkan penyimpanan cloud terkenal dan aplikasi kolaborasi online.