Microsoft Ungkap Ancaman Baru: Serangan Siber Storm-2372

Microsoft baru-baru ini mengungkapkan ancaman baru yang dilakukan oleh kelompok peretas Storm-2372, yang diyakini memiliki keterkaitan dengan Rusia. Sejak Agustus 2024, kelompok ini telah menargetkan berbagai sektor penting di seluruh dunia, termasuk pemerintahan, organisasi non-pemerintah (NGO), layanan teknologi informasi (IT), industri pertahanan, telekomunikasi, kesehatan, pendidikan tinggi, serta sektor energi dan minyak/gas di Eropa, Amerika Utara, Afrika, dan Timur Tengah.

Modus Operandi Serangan
Storm-2372 dikenal menggunakan aplikasi perpesanan seperti WhatsApp, Signal, dan Microsoft Teams untuk menyamar sebagai tokoh terkenal yang relevan dengan target. Dengan cara ini, mereka dapat membangun kepercayaan sebelum melancarkan serangan siber mereka.

Menurut laporan Microsoft Threat Intelligence, serangan ini mengandalkan teknik “device code phishing”. Teknik ini memanfaatkan aplikasi produktivitas untuk menipu pengguna agar masuk ke akun mereka, sehingga peretas bisa mencuri informasi login berupa token akses. Dengan token ini, mereka dapat mengambil alih akun korban dan mengakses berbagai data sensitif tanpa perlu kata sandi.

Cara Kerja ‘Device Code Phishing’
Serangan ini biasanya dimulai dengan email phishing yang menyamar sebagai undangan rapat Microsoft Teams. Ketika korban mengklik tautan yang diberikan, mereka diarahkan ke halaman autentikasi yang tampak resmi dan diminta untuk memasukkan kode perangkat yang sebenarnya telah dibuat oleh peretas.

Dengan metode ini, peretas dapat:

• Mengakses akun korban menggunakan token yang dicuri.
• Mendapatkan akses ke layanan lain, seperti email atau penyimpanan cloud.
• Melakukan serangan lanjutan dengan mengirim email phishing dari akun korban ke pengguna lain dalam organisasi yang sama.

Selain itu, kelompok peretas ini juga menggunakan layanan Microsoft Graph untuk mencari email yang mengandung kata kunci seperti "username", "password", "admin", "TeamViewer", "Anydesk", "credential", "secret", "ministry", dan "gov". Email yang sesuai dengan kata kunci ini kemudian disusupi untuk mencuri informasi sensitif.

Langkah Pencegahan
Microsoft merekomendasikan sejumlah langkah untuk mencegah serangan ini, di antaranya:

• Memblokir metode autentikasi berbasis kode perangkat jika memungkinkan.
• Mengaktifkan autentikasi multi-faktor (MFA) yang tahan terhadap phishing.
• Menerapkan prinsip "least privilege", yakni membatasi akses pengguna hanya sesuai kebutuhan.

Pembaruan Taktik Peretas
Pada 14 Februari 2025, Microsoft melaporkan bahwa Storm-2372 mulai menggunakan ID klien khusus untuk Microsoft Authentication Broker dalam proses login berbasis kode perangkat. Dengan taktik baru ini, peretas dapat:

1. Menggunakan refresh token untuk mendapatkan token baru dan mendaftarkan perangkat mereka ke dalam Entra ID.
2. Mengakses email korban melalui perangkat yang telah terhubung.
3. Menyamarkan aktivitas mereka dengan menggunakan proxy yang sesuai dengan lokasi target agar tidak mudah terdeteksi.

Keterlibatan Kelompok Peretas Rusia
Menurut laporan dari perusahaan keamanan siber Volexity, setidaknya ada tiga kelompok peretas asal Rusia yang menjalankan kampanye phishing berbasis device code untuk membobol akun Microsoft 365 sejak Januari 2025. Email phishing yang mereka sebarkan berpura-pura berasal dari pejabat Departemen Luar Negeri AS, Kementerian Pertahanan Ukraina, Parlemen Uni Eropa, serta institusi penelitian lainnya.

Salah satu kelompok utama yang terlibat diduga adalah APT29, yang juga dikenal dengan nama BlueBravo, Cozy Bear, Midnight Blizzard (sebelumnya Nobelium), dan The Dukes. Selain itu, ada dua kelompok lain yang diberi kode UTA0304 dan UTA0307.

Dalam salah satu serangan, UTA0304 menghubungi korban melalui Signal dengan menyamar sebagai pejabat Kementerian Pertahanan Ukraina. Mereka kemudian mengajak korban untuk beralih ke aplikasi perpesanan lain bernama Element. Setelah korban percaya, peretas mengirim email phishing yang meminta korban untuk mengklik tautan masuk ke ruang obrolan. Padahal, tautan tersebut sebenarnya mengarah ke halaman login Microsoft palsu yang meminta kode perangkat, sehingga akun korban dapat diambil alih.

Kelompok peretas CozyLarch dan UTA0307 juga menggunakan metode serupa, yaitu dengan mengundang korban ke rapat Microsoft Teams palsu. Setelah berhasil mengakses akun Microsoft 365 korban, mereka mencuri dokumen penting yang tersimpan di dalamnya.

Microsoft dan berbagai peneliti keamanan siber telah memperingatkan bahwa kelompok peretas Rusia ini semakin gencar melakukan serangan siber menggunakan teknik phishing berbasis kode perangkat. Karena itu, organisasi di seluruh dunia perlu meningkatkan keamanan akun mereka dengan menerapkan langkah-langkah pencegahan yang ketat guna menghindari serangan semacam ini.