
Salah satu kelompok peretas elit dari Rusia menggunakan perangkat IoT sebagai cara untuk menembus jaringan perusahaan Microsoft.
Serangan telah diamati dengan ketat seperti yang dikatakan oleh Microsoft Threat Intelligence Center , salah satu divisi keamanan siber pembuat OS.
Pembuat OS menghubungkan serangan ke sebuah kelompok yang disebutnya Strontium, tetapi juga dikenal sebagai APT28 atau Fancy Bear.
Kelompok ini sebelumnya telah terlibat dalam peretasan DNC 2016, dan menurut dakwaan yang diajukan pada tahun 2018 oleh pejabat Amerika Serikat, telah diidentifikasi sebagai Unit 26165 dan Unit 74455 dari badan intelijen militer Rusia GRU.
Serangan Microsoft dengan Perangkat IoT Bulan April
Microsoft mengatakan bahwa pada bulan April tahun ini, stafnya melihat Strontium berusaha “untuk mengkompromikan perangkat IoT populer di berbagai lokasi pelanggan.”
Kelompok peretas mencoba untuk mengeksploitasi telepon VOIP, printer kantor, dan decoder video, kata Microsoft.
“Investigasi menemukan bahwa seorang aktor telah menggunakan perangkat ini untuk mendapatkan akses awal ke jaringan perusahaan,” kata perusahaan yang berbasis di Redmond itu. “Dalam dua kasus, kata sandi untuk perangkat dikerahkan tanpa mengubah kata sandi pabrik default dan dalam contoh ketiga pembaruan keamanan terbaru belum diterapkan ke perangkat.”
Microsoft mengatakan peretas menggunakan perangkat IoT yang dikompromikan sebagai titik masuk ke jaringan internal target mereka, di mana mereka akan memindai sistem rentan lainnya untuk memperluas pijakan awal ini.
“Setelah mendapatkan akses ke masing-masing perangkat IOT, aktor menjalankan tcpdump untuk mengendus lalu lintas jaringan pada subnet lokal,” kata Microsoft.
“Mereka juga terlihat menghitung kelompok administratif untuk mencoba eksploitasi lebih lanjut. Ketika aktor bergerak dari satu perangkat ke perangkat lain, mereka akan menjatuhkan skrip shell sederhana untuk membangun kegigihan pada jaringan yang memungkinkan akses luas untuk terus berburu,” tambah pembuat OS tersebut.
Microsoft mengatakan pihaknya mengidentifikasi dan memblokir serangan-serangan ini pada tahap awal, sehingga para penyelidiknya tidak dapat menentukan apa yang dicuri Strontium dari jaringan yang dikompromikan.
Kelompok Cyber-Espionage Meningkatkan Menggunakan Perangkat IoT
Strontium mengejar perangkat IOT bukanlah taktik baru. Kelompok yang sama sebelumnya membuat botnet puluhan ribu router rumah menggunakan malware VPNFilter.
Para ahli percaya Strontium sedang bersiap untuk menggunakan botnet untuk meluncurkan serangan DDoS pada malam final Liga Champions UEFA yang akan diadakan di Kyiv, Ukraina tahun itu.
Tapi selain Strontium, kelompok yang disponsori negara lain juga sudah mulai menargetkan perangkat IoT, dan terutama router. Contohnya termasuk grup LuckyMouse, Inception Framework, dan Slingshot.
Microsoft berencana untuk mengungkapkan informasi lebih lanjut tentang serangan Strontium April 2019 akhir pekan ini di konferensi keamanan Black Hat USA 2019. Laporan Microsoft ini tentang serangan terbaru ini mencakup indikator kompromi (IoC) seperti alamat IP dari server Strontium command and control (C&C), yang mungkin ingin diblokir organisasi di jaringan mereka.
Sumber: zdnet.com