Kelompok Pro-Rusia 'Cyber Spetsnaz' menyerang lembaga pemerintah

idNSA.id - Resecurity, Inc. (USA) telah mengidentifikasi peningkatan aktivitas dalam kelompok hacktivist, mereka memanfaatkan ketegangan geopolitik antara Ukraina dan Rusia untuk melakukan serangan cyber. Menyusul serangan Killnet Collective, kelompok yang bertanggung jawab atas serangan terhadap sumber daya utama pemerintah dan penegakan hukum, sebuah kelompok baru telah diidentifikasi bernama "Cyber ​​Spetsnaz".

Para pelaku memposisikan diri mereka sebagai kelompok penyerang siber elit yang menargetkan infrastruktur NATO dan melakukan spionase siber untuk mencuri data sensitif.

Mulai 24 Mei, kelompok yang menamakan diri mereka “Cyber ​​Spetsnaz” mengumumkan peluncuran kampanye baru “Panopticon” yang bertujuan untuk merekrut 3.000 sukarelawan spesialis ofensif siber yang bersedia berpartisipasi dalam serangan terhadap Uni Eropa dan lembaga pemerintah Ukraina termasuk perusahaan Ukraina.

Pada bulan April, "Cyber ​​Spetsnaz" membangun satu divisi pertamanya yang disebut "Zarya", mereka mencari penetration testing berpengalaman, spesialis OSINT, dan peretas.

Saat itu kelompok ini melakukan salah satu serangan terkoordinasi pertama mereka terhadap NATO. Sebelum itu, anggota “Cyber ​​Spetsnaz” telah mendistribusikan domain yang ditugaskan ke infrastruktur NATO, dengan demikian mereka dapat merencanakan serangan yang efektif. Pelaku tersebut membagikan daftar sumber daya NATO dan file Excel yang komprehensif.

Pada tanggal 2 Juni, grup tersebut membuat divisi baru yang disebut "Sparta". Tanggung jawab divisi baru termasuk "sabotase dunia maya", gangguan sumber daya Internet, pencurian data dan intelijen keuangan yang berfokus pada NATO, anggota dan sekutu mereka. Khususnya, "Sparta" menguraikan kegiatan ini sebagai prioritas utama hari ini dan menegaskan bahwa divisi yang baru dibuat adalah bagian resmi dari grup "Killnet Collective".

Menariknya, nama "Sparta" (dalam konteks perang Ukraina saat ini) terkait dengan nama unit dari Republik Rakyat Donetsk.

Selain proprietary tools, mereka memanfaatkan skrip MHDDoS, Blood, Karma DDoS, Hasoki, DDoS Ripper, dan GoldenEye untuk menghasilkan traffic berbahaya di Layer 7 yang dapat memengaruhi ketersediaan sumber daya WEB.

Kelompok ini melakukan serangan siber terhadap 5 terminal logistik di Italia (Sech, Trieste, TDT, Yilprort, VTP) dan beberapa lembaga keuangan besar juga. “Phoenix” mengoordinasikan kegiatannya dengan divisi lain yang disebut “Rayd” yang sebelumnya menyerang sumber daya pemerintah di Polandia termasuk Kementerian Luar Negeri, Senat, Kontrol Perbatasan, dan Polisi.

Divisi lain yang terlibat dalam serangan DDoS termasuk "Vera", "FasoninnGung", "Mirai", "Jacky", "DDOS Gung" dan "Sakurajima" yang sebelumnya menyerang beberapa sumber daya WEB di Jerman.

Berdasarkan korban yang diamati dan kerjasama erat dengan beberapa organisasi yang terkena dampak, serangan terutama difokuskan pada eksploitasi server WEB yang tidak dikonfigurasi dengan baik dan gangguan jangka pendek. Proper hardening dan implementasi WAF yang tepat, bersama dengan perlindungan DDoS dapat mengatasi masalah secara preemptif, karena kumpulan serangan jaringan total dari sumber unik dapat habis dengan relatif cepat. Sumber serangan yang dicatat menunjukkan bagaimana penyerang secara aktif menggunakan alamat IP palsu dan penyebaran tool pada perangkat IoT yang disusupi dan sumber daya WEB yang diretas.

Tim respons insiden keamanan siber utama Ukraina merilis daftar lima kelompok peretas dan keluarga malware paling gigih yang menyerang infrastruktur kritis Ukraina. Kelompok peretas yang bermusuhan memanfaatkan invasi Rusia ke Ukraina untuk melakukan serangan siber yang dirancang untuk mencuri kredensial login, informasi sensitif, uang, dan lainnya dari para korban di seluruh dunia.