Credit image: Freepix
Dunia Gemetar Dua Kelompok Peretas Canggih Berkolaborasi – Para peneliti keamanan siber telah menemukan bukti pertama kolaborasi antara dua kelompok peretas canggih yang terafiliasi dengan Rusia.
Yang dimaksud adalah Gamaredon dan Turla, kedua kelompok ini diketahui telah lama menargetkan Ukraina dan kini ditemukan bekerja sama.
Temuan kunci dari ESET
- Pada Februari 2025, alat Gamaredon bernama PteroGraphin digunakan untuk menghidupkan kembali backdoor Turla, Kazuar, pada sebuah komputer di Ukraina.
- Pada April dan Juni 2025, installer Kazuar v2 disebarkan langsung menggunakan alat Gamaredon lainnya, yaitu PteroOdd dan PteroPaste.
- Temuan ini mengindikasikan bahwa Gamaredon dan Turla bekerja sama.
- Turla tampaknya hanya menargetkan mesin-mesin yang paling berharga, sementara Gamaredon bertanggung jawab atas kompromi dalam jumlah yang sangat besar.
- Kedua kelompok ini terafiliasi dengan FSB, badan intelijen dan keamanan domestik utama Rusia.
|
Baca juga: Hacker Kini Curi Data Anda di Tengah Jalan |
Profil Kelompok Peretas
Untuk memahami kolaborasi ini, penting untuk mengenal kedua kelompok tersebut.
Gamaredon
Gamaredon telah aktif sejak setidaknya tahun 2013 dan bertanggung jawab atas banyak serangan, terutama terhadap institusi pemerintah Ukraina.
Kelompok ini disebut-sebut berafiliasi dengan Pusat 18 Keamanan Informasi FSB yang beroperasi dari Krimea yang diduduki. Gamaredon dikenal karena melakukan serangan berskala besar, menginfeksi ratusan, bahkan ribuan, mesin.
Turla
Turla, juga dikenal sebagai Snake, adalah kelompok spionase siber terkenal yang telah aktif sejak setidaknya tahun 2004. Ia juga diduga merupakan bagian dari FSB (Pusat 16 FSB) dan berfokus pada target-target profil tinggi, seperti pemerintah dan entitas diplomatik.
Mereka pernah meretas organisasi besar seperti US Department of Defense pada tahun 2008 dan perusahaan pertahanan Swiss RUAG pada 2014.
Bagaimana Mereka Bekerja Sama?
Pada Februari 2025, ESET mendeteksi empat kasus di mana Gamaredon dan Turla secara bersamaan mengkompromikan mesin yang sama di Ukraina.
Di mesin-mesin tersebut, Gamaredon menyebarkan berbagai alat, seperti PteroLNK, PteroOdd, PteroEffigy, dan PteroGraphin, sementara Turla hanya menyebarkan backdoor Kazuar v3.
Pada salah satu mesin tersebut, para peneliti menangkap payload yang menunjukkan bahwa Turla dapat mengirimkan perintah melalui implant Gamaredon.
PteroGraphin digunakan untuk menghidupkan kembali Kazuar, kemungkinan setelah Kazuar crash atau tidak dapat diluncurkan secara otomatis. Ini adalah pertama kalinya kedua kelompok ini dapat dihubungkan melalui indikator teknis.
Metode kompromi yang paling mungkin adalah melalui spearphishing atau file LNK berbahaya pada removable drive, yang merupakan metode umum Gamaredon.
Selain itu, pada April dan Juni 2025, ESET mendeteksi installer Kazuar v2 disebarkan secara langsung oleh alat Gamaredon (PteroOdd dan PteroPaste).
Ini menunjukkan bahwa Turla secara aktif berkolaborasi dengan Gamaredon untuk mendapatkan akses ke mesin-mesin spesifik di Ukraina.
Hipotesis Kolaborasi
Berdasarkan temuan-temuan ini, para peneliti mengajukan tiga hipotesis:
- Sangat Mungkin: Mengingat kedua kelompok adalah bagian dari FSB (meskipun di pusat yang berbeda), Gamaredon menyediakan akses kepada operator Turla agar mereka dapat menjalankan perintah pada mesin-mesin spesifik. Turla dikenal memiliki basis korban yang lebih sedikit tetapi berfokus pada target yang sangat penting.
- Tidak Mungkin: Turla mengkompromikan infrastruktur Gamaredon dan memanfaatkan akses tersebut untuk mendapatkan kembali akses ke mesin di Ukraina. Namun, ini menyiratkan bahwa Turla harus mereproduksi seluruh rantai serangan Gamaredon, yang sangat tidak mungkin.
- Tidak Mungkin: Gamaredon memiliki akses ke Kazuar dan menyebarkannya pada mesin-mesin yang sangat spesifik. Mengingat pendekatan Gamaredon yang cenderung “berisik” dan luas, tidak masuk akal jika mereka akan sangat hati-hati dalam menyebarkan Kazuar hanya pada sejumlah kecil korban.
Dengan demikian, hipotesis pertama adalah yang paling mungkin, menunjukkan adanya kerja sama yang terorganisir antara kedua kelompok.
|
Baca juga: Cara Hacker Pastikan Tebusan Dibayar |
Konteks Geopolitik dan Organisasi
Kolaborasi ini tidak terlalu mengejutkan jika dilihat dari konteks sejarah dan organisasi Rusia. Kedua entitas yang diasosiasikan dengan Turla (Pusat 16 FSB) dan Gamaredon (Pusat 18 FSB) memiliki sejarah panjang kerja sama, yang dapat dilacak kembali ke era Perang Dingin.
- Pusat 16 FSB adalah penerus langsung dari Direktorat ke-16 KGB yang bertanggung jawab untuk pengumpulan intelijen sinyal (SIGINT) asing.
- Pusat 18 FSB memiliki afiliasi dengan Direktorat Utama ke-2 KGB yang bertanggung jawab untuk keamanan internal.
Selama era Soviet, kedua organisasi ini sering bekerja sama, misalnya dalam berbagi tanggung jawab untuk memantau kedutaan asing di tanah Rusia.
Kolaborasi ini mencerminkan budaya strategis Rusia yang melihat kesinambungan alami antara keamanan internal dan pertahanan nasional.
Meskipun secara teoritis memiliki misi yang berbeda, kedua entitas ini sering tumpang tindih dalam tugas, terutama terkait dengan bekas republik Soviet.
Contohnya, pada tahun 2018, SBU (Badan Keamanan Ukraina) telah mengamati Pusat 16 dan 18 yang tampaknya melakukan kampanye spionase siber bersama bernama SpiceyHoney.
Invasi skala penuh ke Ukraina pada tahun 2022 kemungkinan telah memperkuat konvergensi ini, dengan data ESET yang menunjukkan aktivitas Gamaredon dan Turla berfokus pada sektor pertahanan Ukraina dalam beberapa bulan terakhir.
Meskipun komunitas intelijen Rusia dikenal dengan persaingan internal yang sengit, ketegangan semacam itu terutama berlaku untuk hubungan antar-layanan daripada interaksi di dalam satu lembaga.
Dalam konteks ini, tidak terlalu mengejutkan bahwa kelompok APT (Advanced Persistent Threat) yang beroperasi di dalam dua Pusat FSB ini terlihat bekerja sama.
Konklusi
ESET telah menunjukkan bagaimana Turla berhasil memanfaatkan implant yang dioperasikan oleh Gamaredon (PteroGraphin, PteroOdd, dan PteroPaste) untuk menghidupkan kembali Kazuar v3 dan menyebarkan Kazuar v2 pada beberapa mesin di Ukraina.
Kami sekarang sangat yakin bahwa kedua kelompok ini yang secara terpisah berafiliasi dengan FSB bekerja sama dan bahwa Gamaredon menyediakan akses awal untuk Turla.
Temuan ini merupakan pengingat penting akan kompleksitas dan evolusi ancaman siber yang disponsori negara. Kolaborasi antar-kelompok hacker ini menunjukkan bahwa musuh siber semakin canggih dan terorganisir, menggunakan strategi terkoordinasi untuk mencapai tujuan spionase mereka.
Sumber berita:
