Agen Federal AS Diretas, Pelaku Gunakan Perangkat Lunak yang Sah!

JAKARTA - Cybersecurity and Infrastructure Security Agency (CISA) mengidentifikasi sebuah kampanye dunia maya tersebar luas, yang sangat bergantung pada perangkat lunak pemantauan dan manajemen jarak jauh (RMM).

Menurut CISA, penyerang mengirimi korban tautan jahat yang mengarah ke pengunduhan perangkat lunak ScreenConnect dan AnyDesk. Penjahat siber kemudian menggunakan perangkat lunak tersebut dalam penipuan pengembalian uang untuk mencuri uang dari rekening bank korban.

Sementara para penyerang tampaknya termotivasi secara finansial, CISA khawatir pelaku ancaman dapat menjual data korban kepada penyerang yang disponsori negara atau penjahat dunia maya lainnya.

Mereka didapati menargetkan beberapa lembaga cabang eksekutif sipil federal di Amerika Serikat (AS), yang dikenal sebagai FCEB, daftar yang mencakup Homeland Security, Departemen Keuangan dan Departemen Kehakiman.

CISA mengatakan pertama kali mengidentifikasi dugaan aktivitas berbahaya di dua sistem FCEB pada Oktober tahun lalu saat melakukan analisis retrospektif menggunakan Einstein, sistem deteksi intrusi yang dioperasikan pemerintah dan digunakan untuk melindungi jaringan agen sipil federal.

Analisis lebih lanjut mengarah pada kesimpulan banyak jaringan pemerintah lainnya juga terpengaruh. Penyerang yang tidak disebutkan namanya di balik kampanye ini mulai mengirim email phishing bertema help desk ke pemerintah pegawai federal dan alamat email pribadi pada pertengahan Juni 2022.

Email-email ini berisi tautan ke situs jahat tahap pertama yang menyamar sebagai perusahaan terkenal, termasuk Microsoft dan Amazon, atau mendorong korban untuk menelepon peretas, yang kemudian mencoba mengelabui karyawan agar mengunjungi domain jahat tersebut.

Dalam kasus itu dan menurut CISA, penjahat siber menggunakan perangkat lunak akses jarak jauh untuk mengelabui karyawan agar mengakses rekening bank mereka. Peretas menggunakan akses jarak jauh mereka untuk mengubah ringkasan rekening bank penerima.

CISA memperingatkan, penyerang juga dapat menggunakan perangkat lunak akses jarak jauh yang sah sebagai pintu belakang untuk mempertahankan akses terus-menerus ke jaringan pemerintah. Demikian dikutip dari TechCrunch, Jumat, 27 Januari.