Ini Tiga Geng Hacker APT Iran, Menurut FireEye
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Perseteruan Amerika Serikat dan Iran tampaknya bakal lebih sengit di dunia maya.
Sejak kematian Jenderal Qassem Soleimani, pemimpin pasukan Pengawal Revolusi Iran, pekan lalu di Bagdad, Irak, ancaman siber Iran sangat dikhawatirkan para pakar keamanan siber.
Para peretas asal Iran memiliki tingkat agresif tinggi dan mampu menyuntikkan malware khusus dari jarak jauh, menurut Associated Press.
Berita Terkait:
- Situs Web Pemerintah AS Diretas, Hacker Klaim Diri asal Iran
- Serangan Balasan Iran di Dunia Maya Bisa Lebih Berbahaya
Di dunia maya, Iran selalu disebut-sebut memiliki keterkaitan dengan sejumlah geng-geng peretas (hacker). Namun, sejauh ini sulit membuktikan bahwa mereka memang didukung atau dibiayai oleh Iran.
Para peretas yang memiliki keterkaitan dengan negara sering disebut dengan advanced persistent threat (APT). Geng APT ini memiliki tujuan khusus untuk mencuri data atau melakukan sistem pengawasan dalam periode waktu yang lama.
Berita Terkait:
- Donald Trump Ancam Hantam 52 Situs Utama Iran
- Iran Mampu Menggulirkan Operasi Hoaks dan Disinformasi ke AS
Penyerang menghabiskan waktu dan sumber daya untuk mengidentifikasi kerentanan yang dapat mereka eksploitasi. Motif para kelompok APT dapat berupa keuntungan finansial atau spionase politik.
Menurut CSO Online, media yang fokus di isu-isu keamanan siber mulai manajemen risiko hingga pertahanan jaringan, APT awalnya dikaitkan dengan aktor negara-bangsa yang ingin mencuri rahasia pemerintah atau industri.
Perusahaan keamanan siber asal AS, FireEye, mendeteksi dan menganalisis ada tiga kelompok peretas APT yang memiliki keterkaitan dengan pemerintah Iran.
APT 39
Pada Desember 2018, FireEye mengidentifikasi APT39 sebagai kelompok spionase dunia maya Iran yang bertanggung jawab atas pencurian informasi pribadi. FireEye telah melacak aktivitas yang terhubung dengan grup ini sejak November 2014 hingga saat ini.
Fokus APT39 pada pencurian informasi pribadi yang tersebar luas membedakannya dari kelompok Iran lainnya. APT39 kemungkinan berfokus pada informasi pribadi untuk mendukung operasi pemantauan, pelacakan, atau pengawasan yang melayani prioritas nasional Iran. Untuk melakukan hal tersebut, APT39 memanfaatkan backdoor berjuluk “Seaweed” dan “Cachemoney” bersama dengan varian spesifik dari backdoor: “Powbat”.
Untuk target, APT39 bersifat global, tapi kegiatannya terkonsentrasi di Timur Tengah. APT39 telah memprioritaskan sektor telekomunikasi, dengan penargetan tambahan dari industri travelling dan perusahaan TI.
Menurut FireEye, pola penargetan geng ini memiliki kesamaan geng APT 34 dari segi metode distribusi malware, penggunaan backdoor Powbat, nomenklatur infrastruktur, dan target. Hanya, memang ada perbedaan dalam varian Powbat.
Berita Terkait:
- Donald Trump Perintahkan Serangan Siber ke Iran
- Iran Ajukan Gugatan Hukum ke AS Terkait Serangan Siber
APT 34
APT 34 dikenal pula dengan jululkan “Helix” dan “OilRig”. Terdeteksi aktif sejak 2014. Helix diyakini terkait dalam operasi spionase siber jangka panjang yang sebagian besar berfokus pada upaya pengintaian untuk kepentingan Iran.
Geng ini telah melakukan penargetan luas di berbagai industri, termasuk keuangan, pemerintah, energi, kimia, dan telekomunikasi, dan sebagian besar memfokuskan operasinya di Timur Tengah.
FireEye meyakini APT34 bekerja atas nama pemerintah Iran berdasarkan rincian infrastruktur yang berisi referensi ke Iran, penggunaan infrastruktur Iran, dan penargetan yang selaras dengan kepentingan Negara tersebut.
APT34 terkenal dengan malware seperti Glimpse (alias BondUpdater), versi terbaru dari trojan berbasis PowerShell, PoisonFrog, Powbat, Powruner, alat phishing Panel Fox, dan Webmask (alat utama di balik DNSpionage).
APT 33
APT 33 melakukan operasi spionase siber setidaknya sejak 2013. Target mereka beberapa industri yang berkantor pusat di Amerika Serikat, Arab Saudi dan Korea Selatan. APT33 juga menunjukkan minat khusus pada organisasi di sektor penerbangan yang terlibat dalam kapasitas militer dan komersial, serta organisasi di sektor energi yang memiliki hubungan dengan produksi petrokimia.
Dari pertengahan 2016 hingga awal 2017, APT33 mengkompromikan organisasi AS di sektor kedirgantaraan dan menargetkan konglomerat bisnis yang berlokasi di Arab Saudi dengan kepemilikan penerbangan.
Geng ini terkait dengan malware Shapeshift, Dropshot, Turnedup, Nanocore, Netwire, dan Alfa Shell
Redaktur: Andi Nugroho
