Situs Pemerintah Diserang Hacker, Iran Dituduh
- CSO Online
VIVA Tekno – Seorang hacker atau peretas Iran diperkirakan berada di balik serangkaian serangan siber yang merusak layanan pemerintah Albania pada pertengahan Juli 2022.
Perusahaan keamanan siber, Mandiant mengatakan aktivitas jahat terhadap salah satu negara anggota NATO ini telah mewakili suatu ekspansi geografis operasi siber Iran.
Serangan 17 Juli lalu misalnya, Badan Informasi Nasional Masyarakat Albania memaksa pemerintah untuk menutup sementara akses ke layanan publik online dan situs pemerintah lainnya karena telah terjadi serangan kejahatan dunia maya yang tersinkronisasi dan canggih yang datang dari luar Albania, mengutip dari situs Thehackernews, Senin, 8 Agustus 2022.
Adapun, menurut Mandiant, operasi pengganggu ini bermotivasi politik, dengan modus menyebarkan ransomware baru yang disebut ROADSWEEP yang menyertakan catatan tebusan konfrontatif dengan teks, "Mengapa pajak kita harus dihabiskan untuk kepentingan teroris DURRES?"
Sejak saat itu, sebuah front bernama HomeLand Justice mengaku bertanggung jawab atas serangan siber yang terjadi dengan kelompok itu juga diduga mengklaim telah menggunakan malware penghapus dalam serangan tersebut yang disebut dengan sebutan, ZeroCleare, yang untuk pertama kalinya berhasil didokumentasikan oleh IBM pada Desember 2019 sebagai bagian dari kampanye yang menargetkan sektor industri dan energi di Timur Tengah, dan dirancang untuk menghapus master boot record (MBR) dan partisi disk pada mesin berbasis Windows.
Selain itu, turut juga digunakan dalam serangan Albania yang dijuluki sebagai CHIMNEYSWEEP yang mampu mengambil tangkapan layar, membuat daftar dan mengumpulkan file, memunculkan shell terbalik, dan mendukung fungsi keylogging.
Selain dapat berbagi banyak kode yang tumpang tindih dengan ROADSWEEP, turut dikirimkan juga ke sistem melalui arsip yang mengekstrak sendiri bersama dokumen Microsoft Word umpan yang berisi gambar Massoud Rajavi, mantan pemimpin Organisasi Mujahidin Rakyat Iran (MEK).
Meskipun begitu, Mandiant mengatakan, hingga saat ini mereka tidak memiliki cukup bukti yang berhasil menghubungkan penyusupan tersebut dengan suatu nama kelompok musuh, tetapi mereka telah berhasil mencatatkan dengan keyakinan yang cukup moderat bahwa satu atau lebih aktor jahat yang beroperasi dalam mendukung tujuan keterlibatan Iran di dalamnya.
Keterhubungan antara serangan dengan Iran ini berangkat dari fakta bahwa serangan itu terjadi kurang dari seminggu sebelum Konferensi Tingkat Tinggi Dunia Iran Merdeka pada 23-24 Juli di dekat kota pelabuhan Durres oleh entitas yang menentang pemerintah Iran, khususnya anggota MEK.
"Penggunaan ransomware untuk melakukan operasi mengganggu, bermotivasi politik terhadap situs web pemerintah dan layanan warga negara anggota NATO pada minggu yang sama dengan konferensi kelompok oposisi Iran yang akan berlangsung akan menjadi operasi yang sangat berani oleh ancaman aktor Iran-nexus," ujar para peneliti.
Selain itu, temuan tersebut juga muncul dua bulan setelah kelompok ancaman persisten lanjutan (APT) Iran yang dilacak sebagai Charming Kitten alias Fosfor dikaitkan dengan serangan yang ditujukan terhadap perusahaan konstruksi yang tidak disebutkan namanya di bagian selatan Amerika Serikat (AS).