APT33 Akan Semakin Agresif Serang AS dan Saudi

APT33, grup spionase yang berafliasi ke Iran diketahui menggunakan teknik spionase tradisional sebelum 28 Maret 2019. Kelompok ini menyusup ke komputer melalui celah keamanan sistem operasi komputer dan mencuri data penting. Sejak akhir Maret, APT33 mengubah taktiknya menjadi lebih agresif.

Perubahan taktik ini dipicu laporan Symantec  yang mengungkap operasi APT33 atau Advanced Persistent Threat 33. Sejak itu, menurut laporan perusahaan keamanan siber Recorded Future, APT33 telah menggunakan lebih dari 1.200 domain web untuk melakukan serangan siber. Grup ini disebut menargetkan 50 organisasi di Saudi Arabia dan Amerika Serikat yang bergerak di bidang, konstruksi, energi, penerbangan, keuangan, ritel, dan teknologi.

APT33 atau dikenal juga sebagai Elfin atau Refined Kitten atau Magnallium menyiapkan trojan-trojan baru. Grup ini berbasis di Saudi Arabia namun diduga merupakan alat pemerintah Iran. "Riset kami menemukan bahwa APT33 atau organisasi dekatnya terus menyiapkan penyebaran mata-mata siber dan berfokus pada malware," tulis  Recorded Future dalam laporannya.

APT33 bertujuan melakukan sabotase," kata Jon DiMaggio, analis senior di Symantec kepada CyberScoop. Malware mereka, sebuah trojan bernama Stonedrill, “dirancang untuk menghapus hard drive di sistem yang terinfeksi.”

Recorded Future menyatakan bahwa Nasr Institute, grup yang pertama kali diungkap perusahaan keamanan siber Amerika Serikat (AS ), FireEye, tampaknya merupakan agen pemerintah Iran dalam operasi siber. Nasr Institute diduga menyamarkan diri sebagai lembaga swadaya masyarakat untuk melakukan hacking. 

Dalam beberapa minggu terakhir, percobaan penyusupan dilakukan melalui phishing email HTML Application (HTA) yang jika diklik akan mengunduh malware Powerton, sebuah trojan kendali jarak jauh multiguna. 

Seorang pejabat di National Security Agency (NSA) AS menyatakan kepada Cyberscoop bahwa peningkatan serangan siber di Timur Tengah ini lebih bertujuan untuk spionase dibandingkan motivasi merusak. Joe Slowik, analis dari perusahaan keamanan siber Dragos, tampaknya setuju dengan pandangan tersebut. Menurut Slowik, para hacker menanam ranjau untuk penghancuran data. Namun ranjau tersebut tidak akan diledakkan kecuali  konflik Amerika Serikat dan Iran semakin memburuk. 

AS dan Saudi Arabia diketahui merupakan target hacker Iran berdasarkan alasan politis. Perang siber juga sudah berlangsung sejak lama. Pada medio 2012, menurut wired.com, AS bersama Israel melakukan operasi sabotase di fasilitas nuklir Iran melalui malware Stuxnet. Iran membalasnya melalui malware Shamoon ke Saudi Aramco, perusahaan minyak terbesar dunia milik Saudi. Malware ini sangat beringas. Shamoon merusak 30 ribu komputer dan hanya meninggalkan gambar bendera AS terbakar di layar monitor. Sebulan berikutnya, hampir semua website bank besar di AS mendapat serangan DoS.

Konflik Amerika Serikat dan Iran kembali memanas setelah Iran menembak jatuh drone RQ-4A Global Hawk medio Juni lalu. Iran menyatakan drone tersebut melanggar kedaulatan udara negaranya sedangkan AS berdalih bahwa drone itu berada di wilayah internasional. Dan pada 22 Juni, Trump telah memerintahkan peningkatan serangan siber terhadap Iran. Para analis yakin bahwa serangan siber dari Iran akan semakin meningkat.