TEMPO.CO, Jakarta - Microsoft mengungkapkan kalau mereka telah mendapatkan perintah pengadilan untuk mengendalikan tujuh domain di Rusia yang biasa digunakan oleh kelompok hacker APT28 pada Rabu, 6 April 2022. APT28 atau populer sebagai Fancy Bear adalah kelompok yang disponsori negara dan dioperasikan oleh dinas intelijen militer Rusia, dengan tujuan menetralkan dampak invasinya terhadap Ukraina.

"Kami telah mengarahkan ulang domain ini ke lubang pembuangan, sebuah server yang digunakan para pakar keamanan siber untuk menangkap dan menganalisis koneksi-koneksi berbahaya," kata Tom Burt, wakil presiden perusahaan untuk bidang keamanan dan kepercayaan pelanggan Microsoft dalam pengumuman di blog perusahaan.

Fancy Bear disebutkan berusaha mempertahankan akses jangka panjang yang terus-menerus untuk menggali informasi sensitif dari setiap targetnya untuk kemudian menyediakan dukungan taktikal untuk invasi fisik (ke Ukraina). "Kami telah mengirim notifikasi kepada Pemerintah Ukraina mengenai aktivitas yang sudah kami deteksi itu dan tindakan yang sudah kami ambil," kata Burt.

APT28 adalah termasuk kelompok yang cukup maju dan diketahui aktif sejak 2009. Bukan hanya di Ukraina, target mereka adalah perusahaan media, pemerintahan, militer, dan lembaga think tank yang memiliki fokus keamanan di Ukraina, Amerika Serikat dan Uni Eropa.

Microsoft mengatakan telah sebelumnya mengambil alih lebih dari 100 domain yang pernah dikendalikan APT28. Beberapa terkoneksi dengan serangan siber terhadap Komite Nasional Demokrat 2016 dan Pemilihan Presiden 2020.

"Memungkinkan kami untuk mengurangi penggunaan domain saat ini oleh Strontium dan mengaktifkan pemberitahuan kepada korban," kata Burt merujuk nama alias lain dari APT28.

Invasi Rusia ke Ukraina menambah besar seragan siber Fancy Bear dan aktor-aktor jahat di internet lainnya. Pada bulan lalu, Google mengatakan Fancy Bear dan kelompok peretas Ghostwriter dari Belarusia menjalankan serangan phishing terhadap pejabat Ukraina dan anggota militer Polandia. Kelompok yang sama dituding berada di balik peretasan layanan satelit Eropa di awal invasi Rusia ke Ukraina akhir Februari lalu, juga serangan ke perusahaan kontraktor Amerika.

Meta menindak jaringan dari Azerbaijan dan Iran

Pengungkapan dari Microsoft datang ketika Meta menyatakan telah mengambil tindakan terhadap jaringan permusuhan rahasia yang berasal dari Azerbaijan dan Iran yang ada di platformnya. Induk perusahaan Facebook itu melakukannya dengan menghapus akun dan memblokir domain mereka agar tidak dibagikan.

Operasi dari Azerbaijan diyakini telah memilih aktivis demokrasi, kelompok oposisi, dan jurnalis dari negara dan kritikus pemerintah di luar negeri. Modusnya adalah phishing dan spionase kredensial.

Sedang yang dari Iran diungkap melibatkan UNC788 alias Charming Kitten, TA453, atau Phosphorus. Ini adalah kru peretas terkait pemerintah Iran yang memiliki sejarah operasi pengawasan untuk mendukung prioritas strategis negaranya.

"Grup ini menggunakan kombinasi akun palsu yang canggih dan persona fiktif yang lebih rumit, yang kemungkinan besar mereka gunakan untuk membangun kepercayaan dengan target potensial dan mengelabui mereka agar mengklik tautan phishing atau mengunduh aplikasi berbahaya," kata Meta dalam Adversarial Threat kuartal pertama.

Mereka menggunakan aplikasi android berbahaya, dijuluki HilalRAT. Meniru aplikasi Quran yang tampaknya tidak berbahaya, aplikasi ini mengekstrak informasi sensitif, seperti daftar kontak, pesan teks, file, informasi lokasi, serta mengaktifkan kamera dan mikrofon.

Meta juga mengatakan telah memblokir aktivitas jahat yang terkait dengan kelompok peretasan Iran yang tidak dilaporkan. Kelompok ini memanfaatkan taktik yang mirip dengan Tortoiseshell untuk menargetkan atau menipu perusahaan di industri energi, TI, logistik maritim, semikonduktor, dan telekomunikasi.

Kampanye yang ini menampilkan serangkaian profil palsu yang rumit di Instagram, LinkedIn, Facebook, dan Twitter, dengan aktor yang menyamar sebagai perekrut perusahaan nyata dan terdepan. Tujuannya, mengelabui pengguna agar mengklik tautan phishing untuk mengirimkan informasi mencuri malware yang disamarkan sebagai VPN, kalkulator , buku audio, dan aplikasi perpesanan.

"Mereka mengembangkan malware pada platform virtualisasi VMWare ThinApp, yang memungkinkan mereka untuk menjalankannya di banyak sistem berbeda dan menahan muatan berbahaya hingga menit terakhir, membuat deteksi malware lebih menantang," Meta menjelaskan.

Terakhir, juga terganggu oleh Meta adalah upaya pengambilalihan yang dilakukan oleh kelompok Ghostwriter yang bersekutu dengan Belarusia untuk membobol akun Facebook puluhan personel militer Ukraina.

Serangan tersebut, yang berhasil dalam "beberapa kasus," menyalahgunakan akses ke akun media sosial korban dan memposting disinformasi "menyeru Angkatan Darat untuk menyerah seolah-olah postingan ini berasal dari pemilik akun yang sah."

THE HACKER NEWS, THE VERGE