Modus Operandi Canggih Peretas Rusia APT28 Terungkap
Kelompok peretas yang berafiliasi dengan negara Rusia, dikenal sebagai APT28 (juga dilacak sebagai Forest Blizzard atau Fancy Bear), telah berhasil melewati otentikasi multi-faktor (MFA) pada akun Gmail milik target profil tinggi. Modus operandi canggih ini memanfaatkan kredensial akun standar yang telah dicuri sebelumnya melalui metode seperti phishing atau pencurian kredensial.
Eksploitasi Password Aplikasi untuk Bypass Keamanan Gmail
Inti dari taktik peretasan ini adalah pemanfaatan sandi aplikasi. Setelah mendapatkan akses awal menggunakan kombinasi email dan sandi curian, peretas membuat sandi aplikasi baru melalui pengaturan akun Google korban. Sandi aplikasi ini dirancang untuk memungkinkan akses oleh aplikasi lama atau kurang aman yang tidak mendukung proses login Google yang modern dan aman. Dengan menggunakan sandi aplikasi ini, peretas dapat mengakses data akun dan konten email melalui layanan yang mendukung fungsionalitas ini, tanpa memicu permintaan MFA reguler yang seharusnya dikirim ke perangkat utama pengguna. Ini secara efektif melemahkan lapisan keamanan tambahan yang disediakan oleh MFA, memungkinkan peretas untuk mempertahankan akses tersembunyi.
Target Utama Organisasi Pemerintah dan Pertahanan
Target utama dari kampanye peretasan yang menggunakan taktik bypass MFA ini adalah organisasi pemerintah, pertahanan, dan politik. Peretas APT28 berfokus pada entitas di Ukraina, negara-negara anggota NATO, dan negara-negara di Eropa Timur, menunjukkan motivasi geopolitik yang jelas di balik serangan ini.
Deteksi oleh Pakar Keamanan Google Menyoroti Ancaman
Aktivitas berbahaya dan teknik bypass MFA ini terdeteksi dan diungkapkan oleh Tim Analisis Ancaman (TAG) Google. Temuan ini menyoroti evolusi taktik yang digunakan oleh kelompok peretas canggih untuk mengatasi langkah-langkah keamanan modern dan menekankan pentingnya postur keamanan yang kuat.
Rekomendasi Penguatan Keamanan Akun Google
Untuk melindungi akun dari taktik bypass MFA yang canggih ini, Google merekomendasikan penggunaan metode MFA yang lebih kuat dibandingkan metode warisan seperti kode SMS atau kode berbasis waktu (TOTP), yang dianggap kurang resisten terhadap serangan canggih. Metode MFA yang lebih kuat termasuk penggunaan kunci keamanan fisik (seperti Google Titan Key) atau permintaan masuk (prompt) Google di perangkat seluler. Pengguna juga disarankan untuk menonaktifkan penggunaan sandi aplikasi jika tidak diperlukan dan rutin meninjau aktivitas keamanan akun mereka untuk mendeteksi akses mencurigakan.
Sumber: https://www.bleepingcomputer.com/news/security/russian-hackers-bypass-gmail-mfa-using-stolen-app-passwords/