Cracker Iran Dituding Serang 60 Kampus di Sejumlah Negara
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Serangan phishing menyerang puluhan kampus di sejumlah negara. Serangan tersebut diduga melibatkan para peretas (cracker) dari Iran—mereka tergabung dalam Korps Pengawal Revolusi Islam (The Islamic Revolutionary Guard Corps/IRGC), demikian tuding peneliti keamanan dari Secureworks Counter Threat Unit (CTU).
Menurut laporan Secureworks, seperti dikutip dari ZDNet, yang diakses Minggu (15 September 2019), serangan tersebut menargetkan sedikitnya 60 kampus pada Juli dan Agustus kemarin. Mereka tersebar di Amerika Serikat, Inggris, Australia, Kanada, Hong Kong, dan Swiss.
Serangan itu dijuluki “Colbalt Dickens”. Peneliti keamanan dari Secureworks, Allison Wikoff, mengatakan, kampanye serangan pertama kali diketahui tahun lalu. Serangan itu menargetkan kampus-kampus di 14 negara. Mereka berupaya mencuri kekayaan intelektual yang dapat dieksploitasi atau dijual.
"Serangan itu untuk mengakses penelitian akademik yang bernilai ekonomis,” ujar Wikoff.
Seperti serangan sebelumnya, email phising ditargetkan pada layanan perpustakaan online. Modusnya: calon korban perlu mengaktifkan kembali akun mereka dengan mengklik tautan. Kali ini para penyerang menggunakan URL palsu yang tampak seperti asli. Ini berbeda dengan kampanye sebelumnya yang menggunakan penyingkat URL untuk mengaburkan alamat web dari halaman login perpustakaan palsu.
Pengguna yang tidak tahu dan mengklik tautan akan diarahkan ke halaman web yang terlihat sangat mirip, bahkan identik dengan situs web perpustakaan. Selanjutnya, mereka diminta untuk memasukkan kredensial login—pastinya informasi nama pengguna dan kata sandi terkirim ke peretas.
Untuk menghindari timbulnya kecurigaan, calon korban diarahkan ke versi sah situs yang dipalsukan—sayangnya, kredensial sudah dimasukkan.
Untuk membantu menjalankan kampanye terbaru ini, Cobalt Dickens mendaftarkan setidaknya 20 domain baru, lengkap dengan sertifikat SSL yang valid pada domain .ml, .ga, .cf, .gq, dan .tk.
Kelompok peretas itu menggunakan alat yang tersedia untuk umum. Kode diambil dari GitHub untuk membantu melakukan serangan dan menghindari penggunaan malware. Dengan cara begitu, mereka dapat tetap tidak terdeteksi oleh perangkat lunak keamanan siber yang digunakan universitas tersebut.
Pada September 2019, diperkirakan bahwa peretas Iran telah menargetkan setidaknya 380 universitas di lebih dari 30 negara. Untuk membantu melawan ancaman serangan phishing, peneliti merekomendasikan, universitas dan lembaga pendidikan menerapkan autentikasi dua langkah (TFA). "Akun kata sandi tunggal tidak aman," tutur Wikoff .
Redaktur: Andi Nugroho
