Aktor ancaman Iran telah berada di radar dan di garis bidik pemerintah AS dan peneliti keamanan bulan ini dengan apa yang tampaknya menjadi peningkatan dan tindakan keras selanjutnya terhadap aktivitas ancaman dari kelompok ancaman persisten tingkat lanjut (APT) yang terkait dengan Korps Pengawal Revolusi Islam (IRGC) Iran.
Pemerintah AS pada hari Rabu secara bersamaan mengungkapkan skema peretasan yang rumit oleh dan dakwaan terhadap beberapa warga negara Iran berkat dokumen pengadilan yang baru-baru ini dibuka, dan memperingatkan organisasi AS tentang aktivitas APT Iran untuk mengeksploitasi kerentanan yang diketahui โ termasuk ProxyShell yang banyak diserang dan Log4Shell kelemahan โ untuk tujuan serangan ransomware.
Sementara itu, penelitian terpisah baru-baru ini mengungkapkan bahwa aktor ancaman yang disponsori negara Iran dilacak sebagai APT42 telah dikaitkan terhadap lebih dari 30 serangan spionase siber yang dikonfirmasi sejak 2015, yang menargetkan individu dan organisasi dengan kepentingan strategis bagi Iran, dengan target di Australia, Eropa, Timur Tengah, dan Amerika Serikat.
Berita itu muncul di tengah meningkatnya ketegangan antara Amerika Serikat dan Iran sanksi yang dijatuhkan terhadap negara Islam karena aktivitas APT baru-baru ini, termasuk serangan siber terhadap Pemerintah Albania pada bulan Juli yang menyebabkan penutupan situs web pemerintah dan layanan publik online, dan dikecam secara luas.
Selain itu, dengan ketegangan politik antara Iran dan Barat yang meningkat saat negara itu lebih dekat dengan China dan Rusia, motivasi politik Iran untuk aktivitas ancaman sibernya meningkat, kata para peneliti. Serangan lebih cenderung didorong secara finansial ketika menghadapi sanksi dari musuh politik, catat Nicole Hoffman, analis intelijen senior ancaman cyber di penyedia solusi perlindungan risiko Digital Shadows.
Persisten & Menguntungkan
Namun, sementara berita utama tampaknya mencerminkan lonjakan aktivitas ancaman siber baru-baru ini dari APT Iran, para peneliti mengatakan berita serangan dan dakwaan baru-baru ini lebih merupakan cerminan dari aktivitas terus-menerus dan berkelanjutan oleh Iran untuk mempromosikan kepentingan kriminal siber dan agenda politiknya di seluruh dunia. .
โPeningkatan pelaporan media tentang aktivitas ancaman dunia maya Iran tidak selalu berkorelasi dengan lonjakan aktivitas tersebut,โ kata analis Mandiant Emiel Haeghebbaert dalam email ke Dark Reading.
โJika Anda memperkecil dan melihat cakupan penuh aktivitas negara-bangsa, Iran tidak memperlambat upaya mereka,โ setuju Aubrey Perin, analis intelijen ancaman utama di Qualys. โSama seperti kelompok terorganisir lainnya, kegigihan mereka adalah kunci kesuksesan mereka, baik dalam jangka panjang maupun jangka pendek.โ
Namun, Iran, seperti aktor ancaman lainnya, adalah oportunistik, dan ketakutan serta ketidakpastian yang meluas yang saat ini ada karena tantangan geopolitik dan ekonomi โ seperti perang yang sedang berlangsung di Ukraina, inflasi, dan ketegangan global lainnya โ tentu saja mendukung upaya APT mereka, katanya. mengatakan.
Pihak berwenang Perhatikan
Tumbuhnya kepercayaan diri dan keberanian APT Iran tidak luput dari perhatian otoritas global โ termasuk di Amerika Serikat, yang tampaknya mulai muak dengan keterlibatan siber yang terus-menerus bermusuhan di negara itu, setelah mengalaminya setidaknya selama satu dekade terakhir.
Sebuah dakwaan yang dibuka pada hari Rabu oleh Departemen Kehakiman (DoJ), Kantor Kejaksaan AS, Distrik New Jersey menjelaskan secara spesifik aktivitas ransomware yang terjadi antara Februari 2021 dan Februari 2022 dan mempengaruhi ratusan korban di beberapa negara bagian AS, termasuk Illinois, Mississippi, New Jersey, Pennsylvania, dan Washington.
Surat dakwaan mengungkapkan bahwa dari Oktober 2020 hingga sekarang, tiga warga negara Iran โ Mansour Ahmadi, Ahmad Khatibi Aghda, dan Amir Hossein Nickaein Ravari โ terlibat dalam serangan ransomware yang mengeksploitasi kerentanan yang diketahui untuk mencuri dan mengenkripsi data ratusan korban di Amerika Serikat, Inggris, Israel, Iran, dan di tempat lain.
Cybersecurity and Infrastructure Security Agency (CISA), FBI, dan lembaga lainnya kemudian memperingatkan bahwa aktor yang terkait dengan IRGC, lembaga pemerintah Iran yang ditugaskan untuk mempertahankan kepemimpinan dari ancaman internal dan eksternal yang dirasakan, telah mengeksploitasi dan kemungkinan akan terus mengeksploitasi Microsoft. dan kerentanan Fortinet โ termasuk kelemahan Exchange Server yang dikenal sebagai ProxyShell โ dalam aktivitas yang terdeteksi antara Desember 2020 dan Februari 2021.
Para penyerang, yang diyakini bertindak atas perintah APT Iran, menggunakan kerentanan untuk mendapatkan akses awal ke entitas di berbagai sektor dan organisasi infrastruktur penting AS di Australia, Kanada, dan Inggris untuk ransomware dan operasi kejahatan dunia maya lainnya, agensi dikatakan.
Pelaku ancaman melindungi aktivitas jahat mereka menggunakan dua nama perusahaan: Najee Technology Hooshmand Fater LLC, yang berbasis di Karaj, Iran; dan Afkar System Yazd Company, yang berbasis di Yazd, Iran, menurut dakwaan.
APT42 & Memahami Ancaman
Jika serentetan berita utama baru-baru ini yang berfokus pada APT Iran tampaknya memusingkan, itu karena butuh bertahun-tahun analisis dan penyelidikan hanya untuk mengidentifikasi aktivitas tersebut, dan pihak berwenang dan peneliti sama-sama masih mencoba untuk menutupi semua itu, kata Hoffman dari Digital Shadows.
โSetelah diidentifikasi, serangan-serangan ini juga membutuhkan waktu yang cukup lama untuk diselidiki,โ katanya. "Ada banyak potongan puzzle untuk dianalisis dan disatukan."
Para peneliti di Mandiant baru-baru ini mengumpulkan satu teka-teki yang mengungkap aktivitas cyberspionage selama bertahun-tahun yang dimulai sebagai spear-phishing tetapi mengarah ke pemantauan dan pengawasan ponsel Android oleh APT42 yang terkait dengan IRGC, yang diyakini sebagai bagian dari kelompok ancaman Iran lainnya, APT35/Charming Kitten/Fosfor.
Bersama-sama, kedua kelompok juga terhubung ke klaster ancaman yang tidak dikategorikan yang dilacak sebagai UNC2448, diidentifikasi oleh Microsoft dan Secureworks sebagai subkelompok Fosfor yang melakukan serangan ransomware untuk keuntungan finansial menggunakan BitLocker, kata para peneliti.
Untuk mempertebal plot lebih jauh, subkelompok ini tampaknya dioperasikan oleh sebuah perusahaan yang menggunakan dua alias publik, Secnerd dan Lifeweb, yang memiliki tautan ke salah satu perusahaan yang dijalankan oleh warga negara Iran yang didakwa dalam kasus DoJ: Najee Technology Hooshmand.
Bahkan ketika organisasi menyerap dampak dari pengungkapan ini, para peneliti mengatakan serangan masih jauh dari selesai dan kemungkinan akan terdiversifikasi ketika Iran melanjutkan tujuannya untuk mengerahkan dominasi politik pada musuh-musuhnya, Haeghebaert dari Mandiant mencatat dalam emailnya.
โKami menilai bahwa Iran akan terus menggunakan spektrum penuh operasi yang dimungkinkan oleh kemampuan sibernya dalam jangka panjang,โ katanya kepada Dark Reading. โSelain itu, kami percaya bahwa aktivitas mengganggu menggunakan ransomware, wiper, dan teknik kunci-dan-bocor lainnya dapat menjadi semakin umum jika Iran tetap terisolasi di panggung internasional dan ketegangan dengan tetangganya di kawasan dan Barat terus memburuk.โ
