Peretas Iran Kemungkinan Di Balik Serangan Siber yang Mengganggu Terhadap Pemerintah Albania

Iranian Hackers

Seorang aktor ancaman yang bekerja untuk memajukan tujuan Iran dikatakan berada di balik serangkaian serangan siber yang mengganggu terhadap layanan pemerintah Albania pada pertengahan Juli 2022.

Perusahaan keamanan siber Mandiant mengatakan aktivitas jahat terhadap negara NATO mewakili “ekspansi geografis operasi siber Iran yang mengganggu.”

Serangan 17 Juli, menurut Badan Masyarakat Informasi Nasional Albania, memaksa pemerintah untuk “menutup sementara akses ke layanan publik online dan situs web pemerintah lainnya” karena “serangan kejahatan dunia maya yang tersinkronisasi dan canggih dari luar Albania.”

Operasi pengganggu yang bermotivasi politik, menurut Mandiant, memerlukan penyebaran keluarga ransomware baru yang disebut ROADSWEEP yang menyertakan catatan tebusan dengan teks: “Mengapa pajak kami harus dibelanjakan untuk kepentingan teroris DURRES?”

Keamanan cyber

Sebuah front bernama HomeLand Justice sejak itu mengklaim kredit untuk serangan dunia maya, dengan kelompok itu juga diduga mengklaim telah menggunakan malware penghapus dalam serangan tersebut. Meskipun sifat pasti dari wiper belum jelas, Mandiant mengatakan seorang pengguna Albania mengirimkan sampel untuk apa yang disebut ZeroCleare pada 19 Juli, bertepatan dengan serangan.

ZeroCleare, pertama kali didokumentasikan oleh IBM pada Desember 2019 sebagai bagian dari kampanye yang menargetkan sektor industri dan energi di Timur Tengah, dirancang untuk menghapus master boot record (MBR) dan partisi disk pada mesin berbasis Windows. Ini diyakini sebagai upaya kolaboratif antara aktor negara-bangsa Iran yang berbeda, termasuk OilRig (alias APT34, ITG13, atau Helix Kitten).

Related Post :   Gootkit Loader Muncul Kembali dengan Taktik yang Diperbarui untuk Mengganggu Komputer Target

Juga digunakan dalam serangan Albania adalah pintu belakang yang sebelumnya tidak dikenal yang dijuluki CHIMNEYSWEEP yang mampu mengambil tangkapan layar, membuat daftar dan mengumpulkan file, memunculkan shell terbalik, dan mendukung fungsi keylogging.

Peretas Iran

Implan, selain berbagi banyak kode yang tumpang tindih dengan ROADSWEEP, dikirimkan ke sistem melalui arsip self-extracting bersama dokumen Microsoft Word umpan yang berisi gambar Massoud Rajavi, mantan pemimpin People’s Mojahedin Organization of Iran (MEK).

Iterasi paling awal dari CHIMNEYSWEEP berasal dari tahun 2012 dan indikasinya adalah bahwa malware tersebut mungkin telah digunakan dalam serangan yang ditujukan untuk penutur bahasa Farsi dan Arab.

Perusahaan keamanan siber, yang diakuisisi oleh Google awal tahun ini, mengatakan tidak memiliki cukup bukti yang menghubungkan penyusupan dengan kelompok musuh yang disebut, tetapi mencatat dengan keyakinan moderat bahwa satu atau lebih aktor jahat yang beroperasi untuk mendukung tujuan Iran terlibat.

Keamanan cyber

Koneksi ke Iran berasal dari fakta bahwa serangan itu terjadi kurang dari seminggu sebelum Konferensi Tingkat Tinggi Dunia Iran Bebas pada 23-24 Juli di dekat kota pelabuhan Durres oleh entitas yang menentang pemerintah Iran, khususnya anggota MEK. .

“Penggunaan ransomware untuk melakukan operasi mengganggu bermotivasi politik terhadap situs web pemerintah dan layanan warga negara anggota NATO pada minggu yang sama dengan konferensi kelompok oposisi Iran yang akan berlangsung akan menjadi operasi yang sangat berani oleh ancaman Iran-nexus. aktor,” kata para peneliti.

Related Post :   15 Fakta Menarik Mengenai Android

Temuan itu juga muncul dua bulan setelah kelompok ancaman persisten lanjutan (APT) Iran yang dilacak sebagai Charming Kitten (alias Fosfor) dikaitkan dengan serangan yang ditujukan terhadap sebuah perusahaan konstruksi yang tidak disebutkan namanya di AS selatan.


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.