AS Jatuhkan Sanksi Baru pada Iran Atas Serangan Siber di Albania

Cyberthreat.id – Departemen Keuangan AS pada hari Jumat mengumumkan sanksi terhadap Kementerian Intelijen dan Keamanan (MOIS) Iran dan Menteri Intelijennya, Esmaeil Khatib, karena terlibat dalam kegiatan yang memungkinkan dunia maya terhadap negara dan sekutunya.

"Setidaknya sejak 2007, MOIS dan proxy aktor sibernya telah melakukan operasi siber berbahaya yang menargetkan berbagai organisasi pemerintah dan sektor swasta di seluruh dunia dan di berbagai sektor infrastruktur penting," kata Departemen Keuangan dilansir The Hacker News, Senin (12/9).

Badan tersebut juga menuduh aktor yang disponsori negara Iran melakukan serangan mengganggu yang ditujukan pada sistem komputer pemerintah Albania pada pertengahan Juli 2022, sebuah insiden yang memaksa yang terakhir untuk sementara menangguhkan layanan online-nya.

Perkembangan tersebut terjadi beberapa bulan hampir sembilan bulan setelah Komando Siber A.S. menandai ancaman persisten tingkat lanjut (APT) yang dikenal sebagai MuddyWater sebagai elemen bawahan dalam MOIS. Itu juga terjadi hampir dua tahun setelah sanksi Departemen Keuangan terhadap kelompok APT Iran lainnya yang dijuluki APT39 (alias Chafer atau Radio Serpens).

Sanksi hari Jumat secara efektif melarang bisnis dan warga AS terlibat dalam transaksi dengan MOIS dan Khatib, dan warga non-AS yang terlibat dalam transaksi dengan entitas yang ditunjuk dapat dikenai sanksi.

Bertepatan dengan blokade ekonomi, pemerintah Albania mengatakan serangan siber pada infrastruktur digital "diatur dan disponsori oleh Republik Islam Iran melalui keterlibatan empat kelompok yang melakukan agresi.

Microsoft, yang menyelidiki serangan tersebut, mengatakan musuh bekerja bersama-sama untuk melakukan fase serangan yang berbeda, dengan masing-masing cluster bertanggung jawab atas aspek operasi yang berbeda: 

• DEV-0842 menyebarkan ransomware dan penghapus malware

• DEV-0861 memperoleh akses awal dan data yang dieksfiltrasi

• DEV-0166 (alias IntrudingDivisor) data yang dieksfiltrasi, dan

• DEV-0133 (alias Lyceum atau Siamese Kitten) menyelidiki infrastruktur korban

Tim intelijen ancaman raksasa teknologi itu juga mengaitkan kelompok-kelompok yang terlibat dalam mendapatkan akses awal dan mengekstrak data ke kolektif peretasan terkait MOIS Iran dengan nama sandi Europium, yang juga dikenal sebagai APT34, Cobalt Gypsy, Helix Kitten, atau OilRig.

Para penyerang yang bertanggung jawab atas intrusi dan eksfiltrasi data menggunakan alat yang sebelumnya digunakan oleh penyerang Iran lainnya yang diketahui. Penyerang yang bertanggung jawab atas intrusi dan eksfiltrasi data menargetkan sektor dan negara lain yang konsisten dengan kepentingan Iran. 

"Upaya penghancuran yang disponsori Iran memiliki dampak total kurang dari 10% pada lingkungan pelanggan," perusahaan mencatat, menambahkan tindakan pasca-eksploitasi melibatkan penggunaan cangkang web untuk ketekunan, eksekusi yang tidak diketahui untuk pengintaian, teknik pengambilan kredensial, dan metode penghindaran pertahanan untuk mematikan produk keamanan.

Temuan Microsoft sesuai dengan analisis sebelumnya dari Mandiant Google, yang menyebut aktivitas bermotif politik sebagai "ekspansi geografis operasi cyber Iran yang mengganggu."

Akses awal ke jaringan korban pemerintah Albania dikatakan telah terjadi pada awal Mei 2021 melalui eksploitasi yang berhasil dari kelemahan eksekusi kode jarak jauh SharePoint (CVE-2019-0604), diikuti dengan pemusnahan email dari jaringan yang disusupi antara Oktober 2021 dan Januari 2022.

Gelombang paralel kedua dari pengumpulan email diamati antara November 2021 dan Mei 2022, kemungkinan melalui alat yang disebut Jason. Selain itu, penyusupan tersebut melibatkan penyebaran jenis ransomware yang disebut ROADSWEEP dan distribusi malware penghapus yang disebut sebagai ZeroCleare.

Microsoft mencirikan kampanye destruktif sebagai "bentuk pembalasan langsung dan proporsional" untuk serangkaian serangan siber di Iran, termasuk yang dilakukan oleh kelompok peretas Iran yang berafiliasi dengan Mujahedin-e-Khalq (MEK) pada minggu pertama Juli 2022.

MEK, juga dikenal sebagai Organisasi Mujahidin Rakyat Iran (PMOI), adalah kelompok pembangkang Iran yang sebagian besar berbasis di Albania yang berusaha menggulingkan pemerintah Republik Islam Iran dan memasang pemerintahannya sendiri.

"Beberapa organisasi Albania yang menjadi sasaran dalam serangan destruktif adalah organisasi setara dan lembaga pemerintah di Iran yang mengalami serangan siber sebelumnya dengan pesan terkait MEK," kata pembuat Windows.

Kementerian Luar Negeri Iran, bagaimanapun, telah menolak tuduhan bahwa negara itu berada di balik serangan digital di Albania, menyebut mereka "tidak berdasar" dan bahwa itu "bagian dari upaya internasional yang bertanggung jawab untuk menangani ancaman serangan siber."

Lebih lanjut mengutuk sanksi dan menyebut tindakan itu berdasarkan tuduhan "palsu dan tidak terbukti", dengan menyatakan "akan menggunakan semua kemampuannya dalam kerangka hukum internasional untuk menegakkan hak-hak Iran dan membela diri terhadap konspirasi jahat ini." Kementerian juga menuduh AS "memberikan dukungan penuh kepada sekte teroris", mengacu pada MEK.