- Iran mengincar kampanye Demokrat dan Republik, dengan APT42 sebagai hacker yang terlibat.
- APT42, hacker Iran, mengincar kampanye Trump dan Biden dengan serangan phishing.
- APT42, kelompok hacker IRGC, mengincar pejabat kampanye dengan tujuan mata-mata.
pibitek.biz -Ketika kampanye presiden Donald Trump mengumumkan bahwa mereka menjadi sasaran serangan hacker Iran, banyak yang menduga Iran lebih fokus pada kandidat yang dianggap paling 'agresif' terhadap rezim mereka. Namun, ternyata Iran juga mengincar kubu Demokrat. Tim analis keamanan siber Google mengonfirmasi bahwa kedua kubu capres menjadi target serangan hacker Iran, dan ternyata mereka adalah hacker yang sama, yang bekerja untuk Pasukan Garda Revolusi Iran (IRGC). Google's Threat Analysis Group (TAG) merilis laporan terbaru mengenai APT42, sebuah kelompok hacker yang diketahui agresif mengincar kampanye presiden baik Demokrat maupun Republik, serta organisasi militer, pemerintahan, dan diplomatik Israel.
2 – Serangan Siber Hantam Globe Life, Data Ribuan Pelanggan Dicuri 2 – Serangan Siber Hantam Globe Life, Data Ribuan Pelanggan Dicuri
3 – OSCAL TIGER 13: Ponsel Pintar dengan Kamera AI nan Hebat 3 – OSCAL TIGER 13: Ponsel Pintar dengan Kamera AI nan Hebat
Pada Mei dan Juni, APT42, yang diperkirakan bekerja untuk IRGC, mengincar sekitar selusin orang yang terkait dengan kampanye Trump dan Joe Biden. Targetnya meliputi pejabat pemerintah, mantan pejabat, dan individu yang terlibat dengan kedua kampanye politik. Google menyatakan bahwa APT42 terus mengincar pejabat kampanye Republik dan Demokrat. "Dalam hal pengumpulan informasi, mereka menargetkan semua pihak", kata John Hultquist, kepala intelijen ancaman di Mandiant, perusahaan keamanan siber milik Google yang bekerja erat dengan TAG.
Hultquist menekankan bahwa kegiatan mata-mata cyber yang sama terhadap kedua kubu bukanlah hal yang aneh, mengingat APT42 juga mengincar kampanye Biden dan Trump pada tahun 2020. Hultquist menjelaskan bahwa target APT42 bukan berarti mereka memiliki preferensi kandidat tertentu. Alasannya lebih kepada pentingnya kedua kandidat, Trump dan kini Wakil Presiden Kamala Harris, bagi pemerintah Iran. "Mereka tertarik pada kedua kandidat karena mereka lah yang akan menentukan arah kebijakan Amerika di Timur Tengah", jelas Hultquist.
Hanya satu kubu yang diketahui berhasil diretas oleh hacker Iran dan data sensitifnya bocor ke media, mirip dengan operasi hack-and-leak Rusia pada 2016 yang mengincar kampanye Hillary Clinton. Politico, The Washington Post, dan The New York Times menyatakan menerima dokumen yang diklaim berasal dari kampanye Trump, dengan beberapa sumber mengklaim dokumen tersebut diberikan oleh seseorang yang dikenal sebagai "Robert". Namun, apakah dokumen tersebut benar-benar berasal dari serangan APT42 masih belum dipastikan.
Microsoft minggu lalu menyatakan bahwa APT42, yang mereka sebut Mint Sandstorm, pada Juni mengincar "pejabat tinggi di kampanye presiden" dengan memanfaatkan akun email yang diretas dari "mantan penasihat senior" kampanye tersebut. Google dalam laporan terbaru juga menyatakan bahwa APT42 "berhasil mengakses akun Gmail pribadi seorang konsultan politik ternama". Meskipun tidak ada konfirmasi mengenai identitas individu yang diretas, Roger Stone, penasihat Trump, mengumumkan bahwa ia diberi tahu oleh Microsoft dan FBI bahwa akun Microsoft dan Gmail-nya diretas oleh hacker.
Google menyatakan bahwa mereka telah memblokir "banyak" upaya masuk ke akun para pejabat di kedua kubu, mengirimkan peringatan kepada individu yang terkena dampak, dan bekerja sama dengan penegak hukum yang menyelidiki percobaan peretasan tersebut. FBI memulai penyelidikan atas serangan phishing pada Juni, menurut The Post. APT42 sudah lama menjadi salah satu kelompok hacker Iran yang paling aktif di Timur Tengah, bahkan mungkin yang paling aktif, menurut Hultquist dari Mandiant. Namun, Hultquist mencatat bahwa kelompok ini "selama ini lebih banyak fokus pada kegiatan mata-mata".
Ia menambahkan bahwa IRGC secara keseluruhan telah memanfaatkan akses mereka ke jaringan korban untuk melakukan kegiatan yang jauh melampaui mata-mata, seperti melancarkan serangan cyber yang merusak data atau meretas dan membocorkan email dalam operasi yang disebut "operasi pengaruh", seperti yang mungkin terjadi dalam kasus kampanye Trump. "Ini adalah pengingat bahwa setiap akses yang diperoleh untuk spionase dapat digunakan untuk tujuan lain", kata Hultquist. Dalam laporannya, Google mengungkap metode phishing APT42 yang biasa mereka gunakan, mulai dari mengarahkan korban ke halaman Google Meet palsu untuk menipu korban agar memasukkan username dan password, hingga memancing mereka ke dalam percakapan di platform pesan seperti Telegram, WhatsApp, atau Signal.
Setelah itu, hacker akan mengirimkan alat phishing kepada korban untuk mencuri kredensial mereka, serta kode autentikasi dua faktor atau kode pemulihan akun. Selain mengincar kampanye presiden, Google menyatakan bahwa APT42 juga aktif mengincar organisasi Israel dengan situs phishing yang meniru identitas kelompok Israel dan terkait Israel, seperti Washington Institute for Near East Policy, Brookings Institution, Jewish Agency, dan Project Aladdin. Hultquist mengemukakan bahwa target politik bipartisan APT42 dan kaitannya yang tidak jelas dengan kampanye hack-and-leak merupakan pengingat bahwa kegiatan peretasan untuk memengaruhi politik di Amerika Serikat telah meluas sejak operasi pengaruh Rusia yang terkenal pada tahun 2016, dengan dampak yang terus berkembang. "Ini bukan lagi masalah Rusia saja. Lebih luas dari itu", kata Hultquist. "Ada banyak tim yang terlibat. Dan kita harus mengawasi mereka semua".
