Selama 10 tahun terakhir, unit cyberwar paling agresif Kremlin, yang dikenal sebagai Sandworm, telah fokus pada kampanye peretasannya untuk menyiksa Ukraina, terutama setelah invasi penuh presiden Rusia Vladimir Putin ke negara tetangga Rusia itu. Sekarang Microsoft memperingatkan bahwa sebuah tim dalam kelompok peretasan terkenal itu telah beralih sasarannya, bekerja secara sembarangan untuk meretas jaringan di seluruh dunia—dan, dalam setahun terakhir, tampaknya menunjukkan minat khusus pada jaringan di negara-negara berbahasa Inggris.
Pada hari Rabu, tim intelijen ancaman Microsoft menerbitkan penelitian baru tentang kelompok dalam Sandworm yang analis perusahaan sebut BadPilot. Microsoft menggambarkan tim itu sebagai operasi akses awal yang fokus pada meretas dan mendapatkan pijakan di jaringan korban sebelum memberikan akses tersebut kepada peretas lain dalam organisasi lebih besar Sandworm, yang para peneliti keamanan selama bertahun-tahun mengidentifikasi sebagai unit agensi intelijen militer GRU Rusia. Setelah peretasan awal BadPilot, peretas Sandworm lain telah menggunakan intrusi itu untuk bergerak dalam jaringan korban dan menjalankan efek seperti mencuri informasi atau meluncurkan serangan siber, kata Microsoft.
Microsoft menggambarkan BadPilot sebagai memulai sejumlah besar upaya intrusi, melempar jaringan yang luas dan kemudian menyaring hasil untuk fokus pada korban tertentu. Selama tiga tahun terakhir, perusahaan tersebut mengatakan, geografi sasaran kelompok itu telah berkembang: Pada tahun 2022, itu hampir sepenuhnya menargetkan Ukraina, kemudian memperluas peretasannya pada tahun 2023 ke jaringan di seluruh dunia, dan kemudian beralih lagi pada tahun 2024 untuk berfokus pada korban di AS, Inggris, Kanada, dan Australia.
“Kami melihat mereka menyemprotkan upaya akses awal mereka, melihat apa yang kembali, dan kemudian fokus pada target yang mereka sukai,” kata Sherrod DeGrippo, direktur strategi intelijen ancaman Microsoft. “Mereka memilih dan memilih apa yang masuk akal untuk difokuskan. Dan mereka fokus pada negara-negara Barat itu.”
Microsoft tidak menamai korban-korban khusus dari intrusi BadPilot, tetapi secara umum menyatakan bahwa target kelompok peretas itu termasuk “energi, minyak dan gas, telekomunikasi, pengiriman, manufaktur senjata,” dan “pemerintah internasional.” Setidaknya dalam tiga kesempatan, kata Microsoft, operasinya telah menyebabkan serangan siber penghancuran data yang dilakukan oleh Sandworm terhadap target-target Ukraina.
Tentang fokus terbaru pada jaringan-jaringan Barat, DeGrippo dari Microsoft memberi petunjuk bahwa minat kelompok itu kemungkinan lebih terkait dengan politik. “Pemilihan global mungkin menjadi alasan untuk itu,” kata DeGrippo. “Lanskap politik yang berubah, saya pikir, adalah pendorong untuk mengubah taktik dan mengubah target.”
Selama lebih dari tiga tahun Microsoft melacak BadPilot, kelompok itu berusaha mendapatkan akses ke jaringan korban menggunakan kerentanan yang diketahui namun tidak diperbaiki dalam perangkat lunak yang menghadap internet, mengeksploitasi kelemahan yang bisa dihack dalam Microsoft Exchange dan Outlook, serta aplikasi dari OpenFire, JetBrains, dan Zimbra. Dalam penargetan jaringan Barat dalam setahun terakhir khususnya, Microsoft memperingatkan bahwa BadPilot telah secara khusus mengeksploitasi kerentanan dalam alat akses jarak jauh Connectwise ScreenConnect dan Fortinet FortiClient EMS, aplikasi lain untuk mengelola sentral perangkat lunak keamanan Fortinet di PC.
Setelah mengeksploitasi kerentanan itu, Microsoft menemukan bahwa BadPilot biasanya menginstal perangkat lunak yang memberinya akses persisten ke mesin korban, seringkali dengan alat akses jarak jauh yang sah seperti Atera Agent atau Layanan Jarak Jauh Splashtop. Dalam beberapa kasus, dengan twist yang lebih unik, itu juga mengatur komputer korban untuk berjalan sebagai layanan bawang di jaringan anonimitas Tor, pada dasarnya membuatnya menjadi server yang berkomunikasi melalui kumpulan mesin proxy Tor untuk menyembunyikan komunikasinya.