JAKARTA - Kelompok peretas yang terkait pemerintah Rusia telah menyerang puluhan organisasi global dengan kampanye untuk mencuri kredensial login dengan berpura-pura menjadi dukungan teknis dalam percakapan Microsoft Teams. Hal ini diungkapkan peneliti Microsoft pada Rabu, 2 Agustus.
Serangan sosial teknik yang "sangat ditargetkan" ini telah mempengaruhi "kurang dari 40 organisasi global unik" sejak akhir Mei, kata peneliti Microsoft dalam sebuah blog. Mereka juga menambahkan bahwa perusahaan tersebut sedang menyelidiki masalah ini.
Kedutaan Rusia di Washington belum memberikan tanggapan atas permintaan komentar dari media.
Menurut para peneliti, para peretas ini mendirikan domain dan akun yang tampak seperti dukungan teknis dan mencoba terlibat dalam percakapan dengan pengguna Teams serta mendapatkan persetujuan dari mereka untuk prompt otentikasi multi faktor (MFA).
"Microsoft telah mengatasi upaya aktor menggunakan domain tersebut dan terus menyelidiki aktivitas ini serta berupaya mengatasi dampak dari serangan ini," tambah mereka.
Teams adalah platform komunikasi bisnis milik Microsoft, dengan lebih dari 280 juta pengguna aktif, menurut laporan keuangan perusahaan pada Januari 2023.
MFA adalah langkah keamanan yang sangat dianjurkan untuk mencegah peretasan atau pencurian kredensial. Penargetan pada Teams menunjukkan bahwa para peretas menemukan cara-cara baru untuk mengatasi langkah keamanan tersebut.
Kelompok peretas yang bertanggung jawab atas aktivitas ini, dikenal dalam industri sebagai Midnight Blizzard atau APT29, berbasis di Rusia, dan pemerintah Inggris dan Amerika Serikat telah menghubungkannya dengan dinas intelijen luar negeri negara tersebut, kata para peneliti.
BACA JUGA:
"Organisasi-organisasi yang ditargetkan dalam aktivitas ini kemungkinan menunjukkan tujuan spionase tertentu oleh Midnight Blizzard yang ditujukan pada pemerintah, organisasi non-pemerintah (NGO), layanan teknologi informasi, teknologi, manufaktur terpisah, dan sektor media," tulis mereka, tanpa menyebutkan nama-nama targetnya.
"Serangan terbaru ini, dikombinasikan dengan aktivitas sebelumnya, lebih lanjut menunjukkan pelaksanaan tujuan Midnight Blizzard yang berkelanjutan dengan menggunakan teknik-teknik baru dan umum," tulis para peneliti.
Midnight Blizzard telah dikenal menargetkan organisasi-organisasi tersebut, terutama di AS dan Eropa, sejak tahun 2018, tambah mereka.
Para peretas menggunakan akun Microsoft 365 yang sudah ter-compromi dari bisnis kecil untuk membuat domain-domain baru yang tampak seperti entitas dukungan teknis dan memiliki kata "microsoft" di dalamnya, menurut rincian di blog Microsoft. Akun-akun terkait dengan domain-domain ini kemudian mengirim pesan phishing untuk memancing orang melalui Teams, kata para peneliti