Cyberthreat.id - Kelompok hacker APT28 yang diduga terkait erat dengan Rusia mendapatkan banyak pengakuan atas aktivitas spionase cyber selama pemilu Amerika Serikat (AS) 2016. Kelompok ini diyakini bertanggung jawab saat menargetkan Komite Nasional Demokrat yang membobol ratusan organisasi terkait kampanye politik dan konsultannya.

Kini, APT28 sedang berada dalam sebuah misi spionase lain, menargetkan organisasi yang terkait dengan pemilihan presiden AS pada bulan November mendatang.

APT28 - dikenal juga sebagai Strontium, Sofacy atau Fancy Bear - telah menarget Cloud milik Microsoft dengan beberapa rangkaian taktik dan modus serangan terbaru, berbeda dari yang digunakan sebelumnya.

Beberapa kelompok penjahat cyber sebenarnya telah menjalankan operasi khusus untuk mencuri kredensial akun Microsoft Office 365 dari organisasi terkait pemilu di AS dan Inggris Raya sejak bulan April.

Menurut peneliti Microsoft, kelompok APT28 telah mencoba menargetkan 6.912 akun milik 28 organisasi, melalui serangan brute force dan penyemprotan kata sandi (password-spraying attacks).

Bagaimana serangan terjadi?

Selama melaksanakan operasi, APT28 menggunakan mekanisme baru untuk menjaga anonimitas aktivitasnya.

Misalnya, mereka merutekan upaya otentikasi melalui kumpulan (atau mengumpulkan) sekitar 1.100 alamat IP unik, yang sebagian besarnya terkait dengan layanan anonimisasi Tor.

Kumpulan alamat IP aktif ini sangat dinamis. Sekitar 20 alamat IP dirotasi setiap hari untuk menjaga anonimitas.

Organisasi/perusahaan korban tipikal ditargetkan dengan 4 hingga 300 upaya otentikasi per jam untuk melakukan serangan brute-force terhadap kata sandi, semuanya dengan alamat IP yang unik.

Malware baru

Pada pertengahan Agustus 2020, APT28 diketahui menyebarkan malware berbasis Linux baru, yang disebut Drovorub. Operasi Malware ini merupakan bagian dari operasi spionase siber dalam skala lebih luas.

Pada bulan Mei, pihak berwenang Jerman menerbitkan surat perintah penangkapan terhadap Dmitriy Sergeyevich Badin, warga negara Rusia berusia 29 tahun, atas keterlibatannya dalam peretasan Bundestag 2015 ketika ia menjadi bagian dari grup APT28. 

Saat ini Badin diyakini tinggal dan menetap di Moskow dan masih dalam status buronan.

Melihat upaya penyerangan dan penyempurnaan terus menerus dalam taktiknya, peneliti menyimpulkan bahwa APT28 tidak akan menghentikan kegiatan spionase cyber-nya sampai pemilu AS usai.

Dengan demikian, menjadi semakin penting bagi semua organisasi di AS untuk mengetahui dan memahami metode terbaru yang digunakan penjahat cyber untuk kegiatan spionase, baik secara langsung atau tidak langsung. Perusahaan/organisasi di AS disarankan mengambil semua tindakan keamanan yang diperlukan untuk tetap aman. []