ClearSky Sebut Peretas APT Iran di Balik Serangan VPN Dunia

Cyberthreat.id – ClearSky, perusahaan keamanan siber asal Israel, baru saja mengeluarkan laporan terkait aktivitas kampanye siber yang diduga terkait Iran.

Dalam riset yang dilakukan selama kaurtal terakhri 2019 itu, peneliti menyebut kampanye siber itu disebut dengan “Fox Kitten Campaign” (PDF). Menurut peneliti, kampanye ini telah dilakukan kelompok tersebut selama tiga tahun terakhir yang menargetkan organisasi Israel dan negara lain di dunia.

Sasaran kelompok tersebut, antara lain perusahaan sektor telekomunikasi, teknologi informasi, minyak dan gas, penerbangan, pemerintah, dan keamanan.

“Kami memperkirakan kampanye yang diungkapkan dalam laporan ini sebagai salah satu kampanye komprehensif dan berkelanjutan tentang peretas Iran yang terungkap sampai sekarang,” tulis ClearSky di blog perusahaan, Minggu (16 Februari 2020).

Sementara, ZDNet menyebut bahwa laporan ClearSky juga memberikan kesan lain. Selama ini, peretas Iran dianggap tidak canggih dan kurang berbakat, tidak seperti halnya peretas Rusia, China, atau Korea Utara.

“Kelompok APT Iran telah mengembangkan kemampuan ofensif teknis yang baik dan mampu mengeksploitasi kerentanan zero-day dalam periode waktu yang relatif singkat, mulai dari beberapa jam hingga satu atau dua minggu,” tulis ClearSky.

Selain dari malware, ClearSky menyatakan, kampanye yang terdeteksi mencakup seluruh infrastruktur—kemungkinan untuk kemampuan jangka panjang—guna mengendalikan dan sepenuhnya mengakses target yang dipilih oleh Iran.

“Kampanye yang terdeteksi tersebut bisa digunakan untuk tujuan sebagai infrastruktur pengintaian. Namun, juga dapat digunakan sebagai platform untuk menyebarkan dan mengaktifkan malware yang merusak seperti ZeroCleare dan Dustman (terkait dengan APT34),” tulis ClearSky.

Selain itu, ClearSky menduga tujuan kampanye kelompok tersebut untuk menanam pintu belakang (backdoor). Setidaknya, peneliti  menemukan sejumlah tools atau alat seperti berikut:

• STSRCheck - database yang dikembangkan sendiri dan alat pemetaan port terbuka.
• POWSSHNET - malware backdoor yang dikembangkan sendiri untuk penerowongan RDP-over-SSH.
• Skrip VBS khusus - skrip untuk mengunduh file TXT dari server perintah-dan-kontrol (C2 atau C&C) dan menyatukan file-file ini ke dalam file portabel yang dapat dieksekusi.
• Backdoor berbasis soket melalui cs.exe - File EXE yang digunakan untuk membuka koneksi berbasis soket ke alamat IP hardcoded.
• Port.exe - Alat untuk memindai port yang telah ditentukan sebelumnya untuk alamat IP.

Kelompok APT

ClearSky menyatakan, adanya tumpang tindih (dengan probabilitas sedang-tinggi) antara infrastruktur kampanye tersebut dengan aktivitas kelompok APT34-OilRig, APT33-Elfin dan APT39-Chafer .

APT adalah kelompok peretas yang diduga memiliki hubungan atau disponsori oleh negara.

Ini sejalan dengan temuan pertama kali oleh perusahaan keamanan siber Dragos yang menemukan kampanye "Parisite" dan dikaitkan dengan APT33.

“Kami menilai dengan tingkat probabilitas sedang-tinggi, bahwa kelompok serangan Iran (APT34 dan APT33) telah bekerja bersama sejak 2017,” tulis peneliti.

Infrastruktur kampanye yang digunakan peretas tersebut digunakan untuk:

• mengembangkan dan mempertahankan jalur akses ke organisasi yang ditargetkan
• mencuri informasi berharga dari organisasi yang ditargetkan
• mempertahankan pijakan serangan agar tahan lama dalam sistem korban
• menghancurkan perusahaan tambahan melalui serangan rantai pasokan.

“Kampanye tersebut dilakukan dengan menggunakan berbagai alat ofensif, yang sebagian besar berbasis kode sumber terbuka dan beberapa dikembangkan sendiri,” tulis peneliti.

Kerentanan VPN

Dalam beberapa contoh, ClearSky mengatakan, telah mengamati kelompok-kelompok Iran yang mengeksploitasi kelemahan VPN dalam beberapa jam setelah bug-bug itu diungkapkan kepada publik.

Peneliti mengatakan, vektor serangan paling sukses yang digunakan oleh kelompok APT Iran dalam tiga tahun terakhir adalah eksploitasi kerentanan pada sistem dengan layanan VPN dan remote desktop protocol (RDP) yang belum ditambal.

Mereka bisa menyusup dan mengambil kendali atas penyimpanan informasi perusahaan yang penting. Namun, vektor serangan tersebut bukanlah digunakan secara eksklusif oleh kelompok APT Iran saja. Hampir semua penjahat siber juga memanfaatkan kerentanan itu.

Pada tahun lalu, kelompok peretas Iran diduga menargetkan kerentanan pada layanan VPN milik Pulse Secure, Fortinet, dan Palo Alto Networks.

ClearSky menduga kuat bahwa serangan terhadap server VPN di seluruh dunia hasil kerja APT33 (Elfin, Shamoon), APT34 (Oilrig), dan APT39 (Chafer).

ClearSky memprediksi serangan peretas Iran bisa meningkat pada 2020, terutama mengeksploitasi kerentanan baru dalam VPN dan sistem jarak jauh lainnya.[]