Peneliti Kaspersky: APT Iran Sudah Mampu Gunakan Teknik Serangan DoH
Ilustrasi | Foto: ZDNet
Cyberthreat.id - Peneliti Kaspersky menyebut APT 34 asal Iran yang juga dikenal dengan nama Oilrig menjadi kelompok peretasan pertama yang menggunakan teknik serangan DNS-over-HTTPS (DoH) dalam berbagai operasinya.
Analis malware Kaspersky, Vincente Diaz, mengatakan sejak Mei tahun ini Oilrig telah menggunakan "senjata" baru untuk memperkuat serangannya. Senjata baru itu berupa DNSExfiltrator yang menjadi bagian dari intrusi mereka ke berbagai jaringan yang diretas.
DNSExfiltrator adalah proyek sumber terbuka (open source) yang tersedia di GitHub. Tools ini mampu membuat saluran komunikasi rahasia dengan menyalurkan data dan menyembunyikannya di dalam protokol non-standar.
Alat ini memiliki kemampuan yang dapat mentransfer data antara dua titik menggunakan permintaan DNS klasik, tetapi juga dapat menggunakan protokol DoH yang lebih baru.
Oilrig, kata Diaz, menggunakan DNSExfiltrator untuk memindahkan data secara lateral melalui jaringan internal kemudian memfilternya ke titik luar. Ia juga memperkirakan Oilrig menggunakan DoH sebagai saluran exfiltrasi untuk menghindari aktivitasnya terdeteksi saat memindahkan data yang dicuri.
Hal tersebut dilakukan karena protokol DoH saat ini merupakan saluran exfiltrasi yang ideal dengan dua alasan utama. Pertama, ini adalah protokol baru dan tidak semua produk keamanan mampu memonitornya. Kedua, dienkripsi secara default, sedangkan DNS merupakan cleartext.
Oilrig memang APT pertama yang diketahui menggunakan DoH dalam serangannya, tetapi ini bukan hal yang mengejutkan.
Grup ini telah mencoba berbagai teknik exfiltrasi berbasis DNS sebelum mengadopsi toolkit DNSExfiltrator open-source pada bulan Mei. Berdasarkan laporan yang pernah diterbitkan Talos, NSFOCUS, dan Palo Alto Networks, kelompok APT 34 sejak tahun 2018 telah menggunakan alat yang dibuat khusus bernama DNSpionage.
Dalam operasi di bulan Mei, Kaspersky mengatakan Oilrig melakukan exfiltrasi data melalui DoH ke domain terkait Covid-19.
Di bulan yang sama, Reuters menurunkan laporan tentang operasi spear phishing yang dirancang kelompok hacker Iran. Operasi itu menargetkan staf perusahaan farmasi Gilead yang pada saat itu baru saja mengumumkan proyek pengobatan untuk virus Covid-19.
Namun, sampai saat ini belum diketahui dengan jelas apakah keduanya insiden yang sama atau terkait satu sama lain. []
Redaktur: Arif Rahman
