Microsoft: Peretas Rusia Gunakan Akses ISP untuk Serang Kedutaan dalam Serangan AitM
Microsoft melaporkan bahwa kelompok peretas Rusia yang dikenal sebagai APT29 atau Cozy Bear telah menjalankan serangan Adversary-in-the-Middle (AitM) tingkat lanjut dengan memanfaatkan akses dari penyedia layanan internet (ISP). Target utama mereka adalah akun email dan sistem internal milik sejumlah kedutaan besar asing, terutama di wilayah Eropa.
Akses Langsung ke Infrastruktur Internet
Dalam kampanye ini, APT29 tidak hanya mengandalkan rekayasa sosial atau eksploitasi perangkat lunak, tetapi secara aktif menggunakan akses ke infrastruktur jaringan ISP di negara-negara tempat target berada. Dengan mengendalikan lalu lintas jaringan dari dan ke target, mereka mampu menyisipkan diri di tengah komunikasi — teknik yang dikenal sebagai AitM.
Melalui metode ini, pelaku mampu mencuri cookie sesi login, memotong autentikasi multifaktor (MFA), dan mengakses akun cloud seperti Microsoft 365 tanpa perlu kredensial pengguna secara langsung.
Target: Kedutaan dan Entitas Diplomatik
Serangan ini difokuskan pada misi diplomatik, termasuk akun yang digunakan oleh diplomat dan staf kedutaan untuk komunikasi internal dan eksternal. Microsoft menyebut bahwa serangan terjadi di berbagai negara Eropa, termasuk di ibu kota-ibu kota besar.
Langkah awal biasanya dimulai dengan mengarahkan korban ke halaman login palsu Microsoft, yang sebenarnya dijalankan oleh pelaku. Setelah korban memasukkan kredensial dan menyelesaikan proses MFA, sesi tersebut direkam secara real-time oleh peretas, lalu digunakan untuk mengakses akun korban melalui koneksi lain.
Teknik Persisten dan Sulit Dideteksi
Keunggulan serangan ini terletak pada kemampuannya untuk menyamar sebagai sesi sah. Karena koneksi dan sesi terlihat valid, sistem keamanan sering kali gagal mengenali adanya intrusi. Bahkan penggunaan autentikasi dua faktor tidak mampu mencegah akses jika sesi telah dicuri.
APT29 juga diketahui menggunakan IP lokal atau proxy dari negara target untuk menghindari deteksi geografis, serta menjaga durasi sesi tetap pendek agar tak memicu sistem peringatan anomali.
Dampak dan Imbauan Microsoft
Microsoft memperingatkan bahwa metode ini menjadi salah satu taktik paling canggih dalam spionase siber modern. Mereka menekankan pentingnya penggunaan Continuous Access Evaluation (CAE), deteksi anomali berbasis sesi, dan inspeksi lalu lintas HTTPS yang mencurigakan.
Rekomendasi lainnya termasuk:
- Meningkatkan pengawasan terhadap lalu lintas jaringan outbound dan inbound
- Menggunakan autentikasi berbasis perangkat (conditional access)
- Menerapkan isolasi aplikasi berbasis browser
- Segera mencabut sesi aktif yang tidak dikenali
APT29 merupakan kelompok yang telah dikaitkan dengan dinas intelijen luar negeri Rusia (SVR) dan memiliki sejarah panjang dalam kampanye spionase dunia maya, termasuk serangan SolarWinds yang terkenal.
Sumber: Microsoft: Russian hackers use ISP access to hack embassies in AitM attacks
