Sebuah kelompok ancaman yang menyebut dirinya Atlas Intelligence Group (AIG, alias Atlantis Cyber-Army) baru-baru ini muncul dengan apa yang tampaknya menjadi model kejahatan dunia maya yang agak berbeda dan berpotensi menjadi trend-setting.
Peneliti dari Cyberint yang pertama kali menemukan kelompok tersebut menggambarkan pelaku ancaman yang menjual berbagai layanan melalui situs web utamanya, termasuk akses ke basis data yang dicuri, kebocoran data eksklusif, distributed denial-of-service (DDoS), dan akses awal ke jaringan perusahaan melalui klien RDP dan Web shells.
Cyberint mengatakan minggu ini bahwa para penelitinya melihat AIG pada bulan Mei dan telah mengamatinya berkembang pesat sejak saat itu.
Apa yang membuat pelaku ancaman berbeda dari banyak orang lain dengan penawaran serupa adalah kenyataan bahwa operator itu sendiri tampaknya sepenuhnya mengalihkan aktivitas peretasan yang sebenarnya kepada tentara bayaran cyber independen yang tidak memiliki koneksi langsung ke operasi tersebut.
Misalnya, ketika klien membeli DDoS AIG, pencurian data atau layanan spam berbahaya, grup tersebut mengiklankan dan mempekerjakan kontraktor independen untuk melaksanakan tugas yang sebenarnya.
Itu tidak seperti kebanyakan kelompok ancaman yang merekrut dan memelihara tim peretas yang sama untuk kampanye yang berbeda.
Model untuk OpSec
Menurut Cyberint, model AIG tampaknya dirancang untuk memastikan keamanan operasi tingkat tinggi bagi para pemimpinnya dengan memisahkan mereka dari penyerang yang melakukan aktivitas peretasan kriminal.
“AIG adalah grup pertama yang saya lihat menggunakan model bisnis ini,” kata Shmuel Gihon, peneliti keamanan di Cyberint.
“Setiap tim memiliki pemimpinnya dan setiap tim memiliki anggota kunci. Tapi di sini berbeda: kami memiliki satu pemimpin yang mengendalikan segalanya dan semua orang.”
Model bisnis AIG tampaknya dirancang untuk mengambil keuntungan dari meningkatnya jumlah kelompok peretas yang mulai muncul di seluruh dunia dalam beberapa tahun terakhir.
Kelompok tersebut, banyak di antaranya yang beroperasi di luar India, Rusia atau Uni Emirat Arab, mengkhususkan diri dalam membobol jaringan target, mencuri data, dan melakukan berbagai aktivitas jahat lainnya atas nama klien yang mempekerjakan mereka.
Salah satu contoh kelompok semacam itu adalah “Void Balaur” yang berbasis di Rusia, sebuah kelompok tentara bayaran dunia maya yang telah dikaitkan oleh para peneliti dengan serangan terhadap ribuan perusahaan dan individu selama beberapa tahun.
Gihon mengatakan analisis Cyberint tentang kegiatan AIG menunjukkan bahwa itu dijalankan oleh individu yang tertutup menggunakan panggilan “Mr. Eagle.”
Individu ini tampaknya bertanggung jawab untuk memulai semua kampanye dan rencana AIG.
Cyberint sejauh ini mampu mengidentifikasi setidaknya 4 orang lain yang beroperasi di bawah pemimpin ini.
Dan yang bertanggung jawab atas tugas-tugas seperti mengiklankan layanan grup, berkomunikasi dengan pelanggan, dan mengoperasikan saluran Telegramnya.
“Apa yang membuat mereka berbeda adalah fakta bahwa mereka sangat pandai membuat diri mereka anonim dan mendekati operasi ini sebagai pengusaha, bukan sebagai orang teknis,” kata Gihon.
Perilaku kelompok menunjukkan anggota inti atau setidaknya pemimpinnya adalah tim merah atau peretas jahat yang telah memutuskan untuk memimpin daripada beroperasi.
“Mereka telah ada di darknet dan di industri kejahatan dunia maya untuk sementara waktu dan mengamati bagaimana segala sesuatunya beroperasi,” tambahnya.
Komunikasi Telegram
Cyberint mengatakan telah mengamati kelompok tersebut menggunakan 3 saluran Telegram yang berbeda dengan ribuan pelanggan di antaranya, untuk operasinya.
Nomor satu adalah market untuk database yang bocor.
Basis data tampaknya milik perusahaan di berbagai sektor seperti pemerintah, keuangan, manufaktur, dan teknologi dari seluruh dunia.
Pengumpulan basis data yang dijual melalui saluran Telegram menunjukkan bahwa AIG tidak berfokus pada wilayah atau sektor tertentu.
Sebaliknya, kelompok tersebut tampaknya menargetkan perusahaan yang dianggap berharga bagi pembeli potensial.
Beberapa database tersedia hanya dengan harga 15 euro dan berisi informasi seperti email, alamat fisik, nomor telepon, dan informasi lain yang mungkin menarik bagi distributor spam berbahaya, kelompok spear-phishing, serta peretas.
“AIG mengklaim bahwa database ini eksklusif, jadi asumsinya adalah mereka mendapatkannya [melalui] kontraktor mereka,” kata Gihon.
Mengingat harganya yang rendah, kecil kemungkinan AIG memperolehnya dari pihak ketiga dan menjualnya kembali, katanya.
AIG memiliki saluran Telegram kedua yang digunakan untuk mempublikasikan iklan untuk berbagai layanan peretasan yang mungkin dicari dan di mana peretas memiliki kesempatan untuk menawar kontrak.
Saluran tersebut berfungsi sebagai sumber kelompok ancaman untuk menemukan pengembang malware, social engineeringl, tim merah dan tentara bayaran dunia maya lainnya.
Saluran Telegram ketiga AIG yang berfungsi sebagai saluran komunikasinya adalah tempat grup memposting pengumuman, daftar target yang dituju dan informasi lainnya.
Pelaku ancaman juga mengelola toko e-commerce tempat orang yang dapat membeli layanan AIG dan mencuri database menggunakan cryptocurrency.
Gihon mengatakan model bisnis AIG memberikan tingkat fleksibilitas yang tidak dimiliki kelompok ancaman lainnya.
“Pemimpin tidak terikat dengan salah satu anggota karena mereka semua kontraktor,” katanya.
“Jadi, sementara kelompok lain mengalami pasang surut mengingat fakta bahwa mereka adalah kelompok orang yang sama hampir sepanjang waktu, Mr. Eagle memiliki hak istimewa untuk mempekerjakan yang terbaik dari yang terbaik kapan saja,” katanya.
“Ini bisa membuat tim ini sangat mematikan di akhir pertandingan.”
Recent Comments