NSA Terbitkan Panduan Terbaru tentang Operasi Siber SVR Rusia

NSA Terbitkan Panduan Terbaru tentang Operasi Siber SVR Rusia

FORT MEADE, Md. - Badan Keamanan Nasional (NSA) bergabung dengan Biro Investigasi Federal (FBI), Pasukan Misi Nasional Siber Komando Siber Amerika Serikat (CNMF), dan Pusat Keamanan Siber Nasional (NCSC) Inggris Raya untuk memperingatkan para pembela jaringan tentang ancaman siber Dinas Intelijen Luar Negeri (SVR) Federasi Rusia yang sedang berlangsung dan untuk merekomendasikan tindakan pencegahan cepat untuk sistem penambalan dan mitigasi keamanan.

Cybersecurity Advisory (CSA) bersama, “Pembaruan tentang Operasi Siber SVR dan Eksploitasi Kerentanan,” menyoroti bagaimana pelaku siber SVR Rusia saat ini mengeksploitasi serangkaian kerentanan perangkat lunak dan berniat untuk mengeksploitasi kerentanan tambahan. CSA memberikan daftar terperinci kerentanan dan paparan umum (CVE) yang diungkapkan kepada publik dan daftar mitigasi untuk meningkatkan postur keamanan siber berdasarkan operasi pelaku siber SVR.

"Aktivitas ini merupakan ancaman global bagi pemerintah dan sektor swasta dan memerlukan tinjauan menyeluruh terhadap kontrol keamanan, termasuk memprioritaskan patch dan menjaga perangkat lunak tetap mutakhir," kata Dave Luber, Direktur Keamanan Siber NSA. "Panduan terbaru kami akan membantu pembela jaringan mendeteksi intrusi ini dan memastikan mereka mengambil langkah-langkah untuk mengamankan sistem mereka."

Menurut CSA, pelaku siber SVR menggunakan berbagai taktik, teknik, dan prosedur (TTP) termasuk, namun tidak terbatas pada, spearphishing, password spraying, penyalahgunaan rantai pasokan dan hubungan tepercaya, malware khusus dan yang dibuat khusus, eksploitasi cloud, dan teknik hidup di alam. Mereka memperoleh akses awal, meningkatkan hak istimewa, bergerak secara lateral, mempertahankan persistensi dalam jaringan korban dan lingkungan cloud, serta mencuri informasi. Mereka sering menyembunyikan aktivitas mereka menggunakan Tor, infrastruktur yang disewa dan disusupi, dan proxy.

Untuk menghentikan aktivitas ini, penulis laporan menyarankan untuk melakukan penentuan dasar pada perangkat yang sah dan memeriksa sistem yang mengakses jaringannya yang tidak mematuhi garis dasar, di antara berbagai mitigasi lainnya.

Sejak 2021, para pelaku SVR – yang juga dilacak sebagai APT29, Midnight Blizzard (sebelumnya Nobelium), Dukes, dan Cozy Bear – secara konsisten menargetkan entitas AS, Eropa, dan global di sektor pertahanan, teknologi, dan keuangan. Tujuan mereka adalah untuk mengumpulkan intelijen asing dan memungkinkan operasi siber di masa mendatang, termasuk untuk mendukung invasi Rusia yang sedang berlangsung ke Ukraina.

CSA yang diterbitkan pada bulan April 2021, “Russian SVR Menargetkan Jaringan AS dan Sekutu,” menyoroti eksploitasi CVE oleh SVR untuk akses awal. Sejak saat itu, pelaku siber SVR telah mengeksploitasi kerentanan dalam skala besar untuk menargetkan korban di seluruh dunia di berbagai sektor. CSA yang dirilis pada bulan Februari 2024, “SVR Cyber ​​Actors Adapt Tactics for Initial Cloud Access,” menyoroti informasi