Cyberthreat.id – Tim Tanggap Darurat Komputer Ukraina (CERT-UA) mengatakan peretas negara Rusia telah meretas beberapa situs web pemerintah minggu ini menggunakan backdoor yang dipasang sejak Desember 2021.

Dikutip dari Bleeping Computer, CERT-UA melihat serangan tersebut setelah menemukan web shell pada Kamis pagi di salah satu situs web yang diretas yang digunakan oleh pelaku ancaman (dilacak sebagai UAC-0056, Ember Bear, atau Lorec53) untuk menginstal malware tambahan.

Shell web ini dibuat pada Desember 2021 dan digunakan untuk menerapkan backdoor CredPump, HoaxPen, dan HoaxApe satu tahun lalu, pada Februari 2022, menurut CERT-UA. Pelaku ancaman juga menggunakan GOST (Go Simple Tunnel) dan alat Ngrok selama tahap awal serangan mereka untuk menyebarkan backdoor HoaxPen.

“Hari ini, pada tanggal 23 Februari, sebuah serangan terdeteksi di sejumlah situs web otoritas pusat dan lokal Ukraina, mengakibatkan modifikasi konten beberapa halaman web mereka," kata badan pertahanan dan keamanan cybersecurity Ukraina SSSCIP.

Badan tersebut mengatakan, dalam kerangka Tim Tanggap Bersatu di bawah Pusat Koordinasi Keamanan Siber Nasional, para ahli dari SSSCIP, Dinas Keamanan Ukraina dan Polisi Siber bekerja sama untuk mengisolasi dan menyelidiki insiden siber.

SSSCIP menambahkan bahwa insiden tersebut tidak menyebabkan "kegagalan atau gangguan sistem penting" yang akan mempengaruhi operasi otoritas publik Ukraina.

Ember Bear, grup di balik insiden minggu ini, telah aktif setidaknya sejak Maret 2021 dan berfokus pada penargetan entitas Ukraina dengan pintu belakang, pencuri informasi, dan ransomware palsu yang dikirim terutama melalui email phishing. Namun, operatornya juga diduga mendalangi serangan terhadap organisasi Amerika Utara dan Eropa Barat.

Grup APT terlihat meningkatkan kampanye phishing dan upaya kompromi jaringan di Ukraina mulai Desember 2021. Mereka juga terlihat menargetkan lembaga pemerintah Georgia dengan email phishing, dan serangan mereka telah menunjukkan koordinasi dan keselarasan dengan kepentingan negara Rusia.

Bulan lalu, CERT-UA mengungkapkan serangan siber lain yang terkait dengan grup peretasan militer Sandworm Rusia terhadap kantor berita nasional negara itu (Ukrinform) dengan malware penghapus data CaddyWiper, yang gagal memengaruhi operasinya. Grup yang sama menggunakan malware CaddyWiper dalam serangan gagal lainnya dari April 2022 terhadap penyedia energi besar Ukraina.