Peretas Iran Sasar Bankir Minyak Korsel dan Arab Saudi

Tekno News- Firma keamanan FireEye telah merilis laporan frye standard dan daubert standard dalam digital Forensics terkait target serangan maya yang didalangi peretas Iran APT33.

Jacqueline O'Leary, serorang analisis security FireEye mengatakan vendor keamanan memiliki bukti yang menunjukkan bahwa setidaknya enam organisasi yang ditargetkan antara Mei 2016 dan Agustus 2017. Target termasuk perusahaan kedirgantaraan Amerika, konglomerat bisnis Arab Saudi dengan minat di bidang penerbangan, dan sebuah perusahaan Korea Selatan dengan saham di minyak dan petrokimia.

Sangat mungkin bahwa organisasi-organisasi lain yang ditargetkan berdasarkan tambahan infrastruktur yang FireEye identifikasi dan dikaitkan dengan cyber spying didalangi APT33.

Dalam beberapa kasus, FireEye menganalisa APT33 terkait aktivitas spearphishing mengakibatkan kompromi organisasi target. Dalam kasus lain, perusahaan diamati APT33 melakukan spearphishing pada target, meskipun memiliki ada bukti apakah serangan maya tersebut mengakibatkan kompromi.

Sejauh ini, APT33 tampaknya tidak telah melaksanakan setiap serangan yang merusak, tetapi mereka ini muncul hanya fokus pada kegiatan Cyber Espionage atau menerobos sistem security hanya untuk memata-matai atau untuk mengumpulkan informasi yang dianggap rahasia dari target.

Tapi agak menakutkan, salah satu perkakas yang digunakan oleh APT33 dalam menjalan cyber spionase — dijuluki DropSHOT— mempunyai link khusus, ada juga dijuluki ShapeSHIFT, setelah menggunakan tool awalnya disebut Shamoon-seperti disk-, file- dan menghapus konfigurasi alat yang telah digunakan dalam serangan terhadap sasaran-sasaran Arab Saudi. Shamoon adalah perangkat lunak jahat yang digunakan untuk membabat sekitar 35.000 Windows PC perushaan raksasa bangkir minyak Saudi Aramco sekitar lima tahun silam.

Laporan FireEye mengatakan itu tidak terlihat APT33 benar-benar menggunakan tool setelah ShapeSHIFT untuk melaksanakan setiap serangan yang merusak sistem taget. Pada saat yang sama, APT33 adalah satu-satunya kelompok yang dikenal untuk menggunakan DropSHOT, imbuh perusahaan. Seperti banyak kelompok ancaman lain, APT33 telah menggunakan spearphising untuk mencoba dan mendapatkan pijakan awal dalam jaringan target. Email spearphising yang berisi tema perekrutan umpan dengan link ke file HTML aplikasi jahat dengan deskripsi pekerjaan dan link ke posting pekerjaan yang sah bahkan modus situs menampilkan panduan pekerjaan yang sah. lebih lanjut menurut FireEye, banyak dari phishing email telah muncul sah, dan direferensikan peluang pekerjaan tertentu dan gaji dan bahkan termasuk pengungkapan perusahaan yang memberikan kesempatan kepada perusahaan lain. Namun, jika pengguna membuka salah satu dokumen ini, itu akan diam-diam turun APT33 custom backdoor pada mesin korban.

Sebagai bagian dari serangan tombak phishing APT33 juga terdaftar beberapa situs web yang sebagai domain untuk organisasi seperti Boeing, Al-salam perusahaan pesawat, dan Northrop Grumman Aviation Saudi.

Ada beberapa pointer ke APT33's link ke Iran dan pemerintah negara. Kode dalam perangkat lunak jahat yang digunakan oleh grup berisi artefak yang ditulis dalam bahasa Persia, Iran, kata FireEye. Banyak alat-alat yang tersedia untuk Umum dan backdoors yang digunakan APT33 dalam serangn sejauh tersedia pada website aktor ancaman Iran. Menargetkan kelompok organisasi menunjukkan ia sejajar dengan kepentingan negara-bangsa Iran dan waktu kegiatan pengintaian siber bertepatan dengan pekan kerja dan jam sibuk kerja Iran, vendor keamanan mencatat. [ Source ]

Share this post