idNSA.id - Resecurity, Inc. (USA) telah mengidentifikasi
peningkatan aktivitas dalam kelompok hacktivist, mereka memanfaatkan ketegangan
geopolitik antara Ukraina dan Rusia untuk melakukan serangan cyber. Menyusul
serangan Killnet Collective, kelompok yang bertanggung jawab atas serangan
terhadap sumber daya utama pemerintah dan penegakan hukum, sebuah kelompok baru
telah diidentifikasi bernama "Cyber Spetsnaz".
Para pelaku memposisikan diri mereka sebagai kelompok
penyerang siber elit yang menargetkan infrastruktur NATO dan melakukan spionase
siber untuk mencuri data sensitif.
Mulai 24 Mei, kelompok yang menamakan diri mereka “Cyber
Spetsnaz” mengumumkan peluncuran kampanye baru “Panopticon” yang bertujuan
untuk merekrut 3.000 sukarelawan spesialis ofensif siber yang bersedia
berpartisipasi dalam serangan terhadap Uni Eropa dan lembaga pemerintah Ukraina
termasuk perusahaan Ukraina.
Pada bulan April, "Cyber Spetsnaz" membangun satu divisi pertamanya yang disebut "Zarya", mereka mencari penetration testing berpengalaman, spesialis OSINT, dan peretas.
Saat itu kelompok ini melakukan salah satu serangan terkoordinasi pertama mereka terhadap NATO. Sebelum itu, anggota “Cyber Spetsnaz” telah mendistribusikan domain yang ditugaskan ke infrastruktur NATO, dengan demikian mereka dapat merencanakan serangan yang efektif. Pelaku tersebut membagikan daftar sumber daya NATO dan file Excel yang komprehensif.
Pada tanggal 2 Juni, grup tersebut membuat divisi baru yang
disebut "Sparta". Tanggung jawab divisi baru termasuk "sabotase
dunia maya", gangguan sumber daya Internet, pencurian data dan intelijen
keuangan yang berfokus pada NATO, anggota dan sekutu mereka. Khususnya,
"Sparta" menguraikan kegiatan ini sebagai prioritas utama hari ini
dan menegaskan bahwa divisi yang baru dibuat adalah bagian resmi dari grup
"Killnet Collective".
Menariknya, nama "Sparta" (dalam konteks perang Ukraina saat ini) terkait dengan nama unit dari Republik Rakyat Donetsk.
Selain proprietary tools, mereka memanfaatkan skrip MHDDoS, Blood, Karma DDoS, Hasoki, DDoS Ripper, dan GoldenEye untuk menghasilkan traffic berbahaya di Layer 7 yang dapat memengaruhi ketersediaan sumber daya WEB.
Kelompok ini melakukan serangan siber terhadap 5 terminal
logistik di Italia (Sech, Trieste, TDT, Yilprort, VTP) dan beberapa lembaga
keuangan besar juga. “Phoenix” mengoordinasikan kegiatannya dengan divisi lain
yang disebut “Rayd” yang sebelumnya menyerang sumber daya pemerintah di
Polandia termasuk Kementerian Luar Negeri, Senat, Kontrol Perbatasan, dan Polisi.
Divisi lain yang terlibat dalam serangan DDoS termasuk
"Vera", "FasoninnGung", "Mirai",
"Jacky", "DDOS Gung" dan "Sakurajima" yang
sebelumnya menyerang beberapa sumber daya WEB di Jerman.
Berdasarkan korban yang diamati dan kerjasama erat dengan
beberapa organisasi yang terkena dampak, serangan terutama difokuskan pada
eksploitasi server WEB yang tidak dikonfigurasi dengan baik dan gangguan jangka
pendek. Proper hardening dan implementasi WAF yang tepat, bersama dengan
perlindungan DDoS dapat mengatasi masalah secara preemptif, karena kumpulan
serangan jaringan total dari sumber unik dapat habis dengan relatif cepat.
Sumber serangan yang dicatat menunjukkan bagaimana penyerang secara aktif
menggunakan alamat IP palsu dan penyebaran tool pada perangkat IoT yang
disusupi dan sumber daya WEB yang diretas.
Tim respons insiden keamanan siber utama Ukraina merilis
daftar lima kelompok peretas dan keluarga malware paling gigih yang menyerang
infrastruktur kritis Ukraina. Kelompok peretas yang bermusuhan memanfaatkan
invasi Rusia ke Ukraina untuk melakukan serangan siber yang dirancang untuk
mencuri kredensial login, informasi sensitif, uang, dan lainnya dari para
korban di seluruh dunia.
