Badan Keamanan Negara Rusia meluncurkan serangan phishing yang semakin canggih terhadap anggota masyarakat sipil di Amerika Serikat, Eropa, dan Rusia, dan dalam beberapa kasus menargetkan mereka, menurut sebuah studi baru yang dilakukan oleh peneliti keamanan.
Sebuah laporan baru dari Citizen Lab Universitas Toronto, Akses sekarang Hal ini terjadi setelah FBI meluncurkan penyelidikan terpisah terhadap dugaan upaya peretasan Iran yang menargetkan penasihat Presiden Donald Trump dan penasihat kampanye Harris Walz.
Kampanye peretasan yang disponsori negara, termasuk upaya untuk mempengaruhi kampanye politik, bukanlah hal baru. Hillary Clinton menjadi sasaran peretas yang memiliki hubungan dengan pemerintah Rusia beberapa bulan sebelum kegagalannya dalam pemilihan presiden tahun 2016.
Namun, para peneliti mengatakan serangan yang terkait dengan negara Rusia menjadi lebih canggih, baik dari segi strategi rekayasa sosial maupun aspek teknis.
Target dari serangkaian percobaan serangan baru-baru ini termasuk mantan Duta Besar AS untuk Ukraina Steven Pifer, dan pembelot yang outlet beritanya Proekt Media telah melakukan penyelidikan tingkat tinggi terhadap Presiden Rusia Vladimir Putin dan pemimpin Chechnya Ramzan juga termasuk di dalamnya. Kadyrov.
Dalam kasus Peifer, para peneliti mengatakan dia menjadi sasaran setelah interaksi yang “sangat dapat dipercaya” yang melibatkan seseorang yang meniru identitas mantan duta besar AS lainnya yang dikenal oleh Peifer.
Kasus McHold juga menggunakan metode serangan yang lebih canggih. Penerbit tersebut, yang tinggal di Jerman setelah diusir dari Rusia pada musim panas 2021, pertama kali dihubungi melalui email pada November 2023 oleh perwakilan dari penerbit lain yang pernah bekerja sama dengannya sebelumnya. Dia memintanya untuk melihat lampirannya, tetapi tidak ada lampirannya. Dia menjawab bahwa itu hilang. Beberapa bulan kemudian, dia menghubunginya lagi. Kali ini, ia menggunakan nama Protonmail, layanan email gratis dan aman yang biasa digunakan jurnalis. Lonceng alarm mulai berbunyi, katanya, ketika lampiran email yang dia buka tampak seperti drive Protonmail dan memerlukan informasi login. Dia menelepon perwakilan tersebut, yang terkejut karena dia tidak mengirim email kepadanya.
“Saya belum pernah melihat hal seperti ini sebelumnya. Mereka tahu saya telah melakukan kontak dengan orang ini. Meskipun saya pikir saya dalam keadaan siaga tinggi, mereka tidak tahu. Ternyata tidak,” kata McHold.
Machold mengatakan jelas bahwa siapa pun yang terkait dengan kelompok oposisi Rusia bisa menjadi sasaran. “Mereka membutuhkan informasi sebanyak yang mereka bisa dapatkan,” katanya.
Para peneliti mengatakan kampanye phishing yang menargetkan McHold dan Pifer dilakukan oleh aktor ancaman yang dikenal sebagai Cold Driver, yang oleh beberapa pemerintah dikaitkan dengan Dinas Keamanan Federal (FSB) Rusia. Aktor kedua, yang disebut Coldwastrel, memiliki pola penargetan serupa dan juga tampaknya fokus pada target yang menjadi kepentingan Rusia.
“Investigasi ini menunjukkan bahwa media independen Rusia dan kelompok hak asasi manusia di pengasingan menghadapi serangan phishing canggih serupa yang menargetkan pejabat dan mantan pejabat AS. Mereka memiliki sumber daya yang jauh lebih sedikit untuk melindungi mereka dan risiko pelanggarannya jauh lebih parah,” kata Natalia Krapiva. penasihat hukum teknologi senior di Access Now.
Hampir semua target yang dituju oleh para peneliti, yang meminta untuk tidak disebutkan namanya demi keselamatan mereka sendiri, termasuk anggota terkemuka oposisi Rusia di pengasingan, pejabat non-pemerintah dari Amerika Serikat dan Eropa, donor, dan media telah dilakukan. Kesamaan yang dimiliki sebagian besar target adalah “jaringan luas komunitas sensitif,” kata para peneliti.
Taktik paling umum yang diamati termasuk penyerang yang meniru identitas seseorang yang dikenal target dan memulai pertukaran email dengan target. Minta peninjauan dokumen dari target. PDF yang dilampirkan biasanya mengklaim dienkripsi menggunakan layanan yang berfokus pada privasi seperti ProtonDrive, dan halaman login sudah diisi sebelumnya dengan alamat email target untuk memastikan keasliannya. Setelah target memasukkan kata sandi dan kode dua faktor, pelaku ancaman memperoleh informasi dan mendapatkan akses ke akun email target.
“Setelah para penyerang ini mendapatkan kredensialnya, kami yakin mereka akan segera mengakses penyimpanan online seperti akun email dan Google Drive untuk mengekstrak informasi sensitif sebanyak mungkin, terutama dari mereka yang masih berada di Rusia tentang orang-orang dimuat dalam akun ini,” kata peneliti senior Citizen Lab, Rebecca Brown.