Internet Sehat : Badan keamanan siber nasional Prancis, ANSSI mengatakan bahwa kelompok peretas Nobelium yang didukung Rusia di balik peretasan SolarWinds tahun lalu telah menargetkan organisasi Prancis sejak Februari 2021.

Sementara ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) belum menentukan bagaimana Nobelium mengkompromikan akun email milik organisasi Prancis, mereka menambahkan bahwa peretas menggunakannya untuk mengirimkan e-mail berbahaya yang menargetkan institusi asing.

Pada gilirannya, organisasi publik Prancis juga menjadi target e-mail palsu yang dikirim dari server milik entitas asing yang diyakini telah disusupi oleh pelaku ancaman yang sama.

Infrastruktur yang digunakan oleh Nobelium dalam serangan terhadap entitas Prancis terutama diatur menggunakan server pribadi virtual (VPS) dari perusahaan hosting yang berbeda (lebih menyukai server dari OVH dan berlokasi dekat dengan negara yang ditargetkan).

Untuk mempertahankan diri dari serangan kelompok peretas ini, ANSSI merekomendasikan untuk membatasi eksekusi lampiran email untuk memblokir file berbahaya yang dikirim dalam kampanye phishing.

Badan keamanan siber Prancis juga menyarankan organisasi yang berisiko untuk memperketat keamanan Active Directory (dan server AD khususnya) menggunakan panduan pengerasan keamanan Active Directory-nya.

Nobelium, kelompok peretas di balik serangan rantai pasokan SolarWinds tahun lalu, yang menyebabkan pelanggaran beberapa agen federal AS, adalah divisi peretasan dari Russian Foreign Intelligence Service (SVR), juga dilacak sebagai APT29, The Dukes, atau Cozy Bear .

Pemerintah AS secara resmi menuduh divisi SVR pada bulan April mendalangi kampanye spionase dunia maya yang luas yang melanda SolarWinds. Perusahaan keamanan siber Volexity juga mengaitkan serangan itu dengan pelaku ancaman yang sama berdasarkan taktik yang diamati dalam insiden yang dimulai pada 2018.

Sumber : Bleeping Computer