Gaza Cybergang Terdeteksi Lancarkan Spionase di Palestina
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Peneliti keamanan siber Cybereason Nocturnus mendeteksi kampanye mata-mata dunia maya di Palestina.
Kampanye spionase siber tersebut diduga berasal dari kelompok Gaza Cybergang juga dikenal sebagai MoleRATs, tulis ZDNet, Kamis (13 Februari 2020) mengutip publikasi dari tim peneliti.
Cybereason Nocturnus merupakan bagian dari perusahaan siber Cybereason asal Boston, Amerika Serikat.
Perusahaan siber asal Moskow, Rusia, Kaspersky menyebut Gaza Cybergang sebagai sebuah grup yang memiliki keterkaitan dengan “MoleRATS”, “Desert Falcons”, dan “Operation Parliament”. Beroperasi sejak 2012, MoleRATs aktif berkampanye dalam bahasa Arab dan bermotivasi politik.
Pada penyelidikan 2018, Kaspersky menyebut MoleRATs termasuk grup dengan anggaran rendah, sedangkan Desert Falcons dan Operation Parliament masing-masing memiliki tingkat kecanggihan sedang dan tinggi.
Ketiganya menggunakan gaya serangan yang berbeda, tapi semua menggunakan alat dan perintah umum setelah infeksi awal.
Cybereason mengatakan bahwa selama beberapa bulan terakhir, MoleRATs telah berusaha untuk menyusup ke sistem baik organisasi maupun individu. Namun, dua kampanye terpisah tampaknya terjadi secara bersamaan.
Yang pertama, dijuluki Spark, menggunakan rekayasa sosial (social hacking) sebagai vektor serangan awal. Email phishing berupaya memikat korban dengan memanfaatkan konten yang sensitif secara politis, seperti konflik Israel-Palestina, ketegangan antara Hamas dan pemerintah Mesir, dan pembunuhan Jenderal Iran Qassem Soleimani.
Korban diarahkan untuk membuka email dengan lampiran file berbahaya atau dokumen-dokumen jebakan dalam bentuk Microsoft Office, [.PDF], dan file arsip—semua ini upaya penyerang memikat korban untuk mengunduh file arsip tambahan dari Egnyte atau Dropbox.
Ketika dibuka, file lain yang menyamar sebagai dokumen Microsoft Word ternyata berisi file executable yang merupakan dropper “Backdoor Spark”.
Nama-nama dokumen jebakan itu, seperti:
- Meeting between Abu-Mazen and Kushner,
- Haniyeh will remain abroad and Hamas steps up in Gaza.pdf, dan
- Details%20Ceasfire%20with%Israel.zip.
Menurut ZDNet, “Backdoor Spark” kemungkinan perangkat lunak khusus yang dirancang oleh aktor ancaman untuk (1) mengumpulkan informasi sistem pada mesin yang terinfeksi, (2) mengenkripsi informasi ini dan mengirimkannya ke server perintah-dan-kontrol (C2), (3) unduh payload jahat tambahan, dan (4) jalankan perintah.
Malware akan membungkus muatan (payload) menggunakan Enigma dalam upaya untuk menghindari deteksi dan akan memindai produk antivirus menggunakan WMI. Spark juga akan memverifikasi bahwa korbannya adalah berbahasa Arab berdasarkan pengaturan keyboard dan bahasa.
Pierogi adalah kampanye kedua yang juga menggunakan rekayasa sosial, tetapi menggunakan serangkaian dokumen berbahaya umpan yang berbeda - dan merupakan pintu belakang baru.
Dalam sebagian besar kasus, para peneliti keamanan dunia maya mengatakan dokumen Microsoft Word yang dipersenjatai digunakan, juga mengarah pada unduhan file berbahaya lebih lanjut melalui makro.
Dokumen tersebut, misalnya:
- Report on major developments_347678363764.exe,
- Employee-entitlements-2020.doc, dan
- Hamas_32th_Anniversary__32_1412_847403867_rar.exe.
Jika file itu diunduh, backdoor (pintu belakang) kemudian dijatuhkan. Malware ini dapat (1) mengumpulkan dan mencuri data sistem, (2) mengunduh muatan tambahan, (3) mengambil tangkapan layar, dan (4) menjalankan perintah melalui CMD (command prompt).
Peneliti Cybereason mencurigai bahwa tujuan kedua kampanye adalah untuk "mendapatkan informasi sensitif dari para korban dan memanfaatkannya untuk tujuan politik”.
Peneliti juga menjelaskan, ada beberapa kasus di masa lalu, di mana aktor ancaman berusaha untuk meniru yang lain sebagai upaya mereka mengaburkan atribusi diri.
"Ada banyak aktor ancaman yang beroperasi di Timur Tengah, dan seringkali ada tumpang tindih dalam taktik, teknik dan prosedur (TTP), alat, motivasi, dan viktimologi," kata peneliti.[]
