Bisnis.com, JAKARTA - Para peneliti Microsoft mengungkapkan kelompok peretas atau hacker yang terkait dengan Rusia. Diketahui bahwa target mereka mengincar puluhan organisasi global di dunia.
Dikutip dari Reuters pada Rabu (3/8/2023), ini dilakukan dengan rancangan kampanye untuk mencuri kredensial login dengan melibatkan pengguna dalam obrolan Microsoft Teams. Peretas berpura-pura berasal dari dukungan teknis milik Microsoft.
Serangan rekayasa sosial yang dinilai sangat ditargetkan ini telah berlangsung sejak akhir Mei 2023 dan berdampak ke 40 organisasi global. Hal ini diungkapkan oleh para peneliti Microsoft dalam sebuah blog, dengan keterangan tambahan bahwa perusahaan sedang melakukan penyelidikan lebih lanjut.
Kedutaan Besar Rusia di Washington tidak segera menanggapi permintaan komentar Reuters. Para peretas membuat domain dan akun yang tampak seperti dukungan teknis dan mencoba melibatkan pengguna Teams dalam obrolan dan membuat mereka menyetujui permintaan otentikasi multifaktor (MFA).
MFA adalah langkah keamanan yang direkomendasikan secara luas yang bertujuan untuk mencegah peretasan atau pencurian kredensial. Penargetan Tim menunjukkan bahwa para peretas menemukan cara baru untuk melewatinya.
"Microsoft telah memitigasi pelaku agar tidak menggunakan domain tersebut dan terus menyelidiki aktivitas ini serta berupaya memulihkan dampak serangan," jelasnya dikutip dari Reuters, Rabu (3/8/2023).
Baca Juga
Menurut laporan perusahaan tersebut pada bulan Januari 2023, terdapat lebih dari 280 juta pengguna aktif Microsoft Teams. Pasalnya, Teams merupakan platform komunikasi bisnis milik Microsoft.
Kelompok peretas di balik aktivitas ini, yang dikenal di industri sebagai Midnight Blizzard atau APT29, berbasis di Rusia dan pemerintah Inggris serta AS telah mengaitkannya dengan badan intelijen luar negeri negara itu, kata para peneliti.
"Organisasi yang menjadi sasaran dalam aktivitas ini kemungkinan besar mengindikasikan tujuan spionase spesifik oleh Midnight Blizzard yang ditujukan kepada pemerintah, lembaga swadaya masyarakat (LSM), layanan TI, teknologi, manufaktur terpisah, dan sektor media," ujar mereka.
Midnight Blizzard telah diketahui menargetkan organisasi semacam itu, terutama di AS dan Eropa, sejak tahun 2018, tambah mereka.
"Serangan terbaru ini, dikombinasikan dengan aktivitas sebelumnya, semakin menunjukkan eksekusi Midnight Blizzard yang sedang berlangsung atas tujuan mereka dengan menggunakan teknik-teknik baru dan umum," tulis para peneliti.
Para peretas menggunakan akun Microsoft 365 yang sudah dikompromikan yang dimiliki oleh bisnis kecil untuk membuat domain baru yang tampaknya merupakan entitas dukungan teknis dan memiliki kata "microsoft" di dalamnya, menurut rincian di blog Microsoft.
Akun-akun yang terkait dengan domain-domain ini kemudian mengirim pesan phishing untuk memancing orang melalui Teams, kata para peneliti.