- Peretas Iran semakin agresif menargetkan organisasi infrastruktur penting dengan metode canggih.
- Organisasi harus proaktif melindungi diri dengan langkah-langkah keamanan kuat dan memantau jaringan.
- Serangan peretas Iran merupakan ancaman serius yang memerlukan peningkatan kesadaran dan kolaborasi global.
pibitek.biz -Para peretas Iran telah merambah jauh ke dalam jaringan organisasi infrastruktur penting, mencuri kredensial dan data jaringan untuk kemudian dijual di forum-forum cybercriminal. Aktivitas ini dilakukan untuk memungkinkan serangan siber oleh aktor-aktor ancaman lainnya. Lembaga pemerintah di Amerika Serikat, Kanada, dan Australia telah mengidentifikasi peretas Iran sebagai pelaku serangan ini. Mereka menggunakan berbagai teknik, terutama kekuatan brute-force, untuk menyusup ke jaringan organisasi di sektor kesehatan dan kesehatan masyarakat (HPH), pemerintahan, teknologi informasi, teknik, dan energi.
2 – Ransomware BianLian Serang Rumah Sakit Anak Boston 2 – Ransomware BianLian Serang Rumah Sakit Anak Boston
3 – AI: Ancaman Baru bagi Keamanan Siber 3 – AI: Ancaman Baru bagi Keamanan Siber
Badan Keamanan Siber Amerika Serikat (CISA) telah mengeluarkan peringatan tentang metode yang digunakan oleh peretas Iran untuk membobol jaringan dan mengumpulkan data. Peringatan ini dibuat bersama dengan Biro Investigasi Federal (FBI), CISA, Badan Keamanan Nasional (NSA), Lembaga Keamanan Komunikasi Kanada (CSE), Kepolisian Federal Australia (AFP), dan Pusat Keamanan Siber Australia (ASD's ACSC). Peretas Iran menjalankan tahapan awal serangan dengan melakukan reconnaissance, mengumpulkan informasi tentang jaringan dan sistem target.
Mereka menggunakan teknik brute-force untuk mencoba menebak kata sandi dan mendapatkan akses ke akun yang sah. Teknik ini melibatkan percobaan kombinasi kata sandi secara berulang hingga berhasil masuk ke akun. Setelah berhasil masuk, mereka berusaha untuk mendapatkan akses permanen ke jaringan target, seringkali menggunakan teknik brute-force. Mereka kemudian mengumpulkan kredensial tambahan, meningkatkan hak akses, dan mempelajari sistem dan jaringan yang telah diretas. Informasi ini membantu mereka untuk bergerak secara lateral dalam jaringan dan mencari titik akses dan eksploitasi lainnya.
Lembaga pemerintah belum menemukan semua metode yang digunakan dalam serangan ini, tetapi mereka telah mengidentifikasi penggunaan password spraying. Metode ini melibatkan percobaan kombinasi kata sandi yang sama pada banyak akun secara bersamaan. Tujuannya adalah untuk menemukan akun dengan kata sandi yang mudah ditebak. Para peretas juga menggunakan teknik MFA fatigue (push bombing). Mereka membombardir perangkat seluler target dengan permintaan akses berulang untuk mengalahkan pengguna. Hal ini membuat pengguna kewalahan dan akhirnya mengizinkan akses karena mereka tidak ingin terus menerima notifikasi.
Peretas Iran juga menggunakan metode yang belum diketahui untuk memperoleh akses awal ke lingkungan Microsoft 365, Azure, dan Citrix. Begitu mereka mendapatkan akses ke akun, mereka mencoba mendaftarkan perangkat mereka ke sistem MFA organisasi. Setelah masuk, mereka menjelajahi jaringan menggunakan protokol Remote Desktop Protocol (RDP). Terkadang, mereka menggunakan PowerShell, yang diakses melalui Microsoft Word, untuk menyebarkan file biner yang diperlukan. Tidak diketahui bagaimana peretas Iran mengumpulkan kredensial tambahan, tetapi diyakini bahwa mereka menggunakan alat open-source untuk mencuri tiket Kerberos atau mengambil akun Active Directory.
Untuk meningkatkan hak akses pada sistem, para peretas berusaha meniru domain controller dengan mengeksploitasi kerentanan elevasi hak akses Netlogon milik Microsoft (CVE-2020-1472). Para peretas mengandalkan alat yang tersedia di sistem untuk mengumpulkan informasi tentang domain controller, domain tepercaya, daftar administrator, admin perusahaan, komputer di jaringan, deskripsi mereka, dan sistem operasi. Dalam peringatan terpisah pada bulan Agustus, pemerintah AS memperingatkan tentang aktor ancaman berbasis Iran yang diyakini didukung oleh negara.
Aktor ini terlibat dalam memperoleh akses awal ke jaringan yang dimiliki oleh berbagai organisasi di AS. Aktor ancaman ini menggunakan alias "Br0k3r" dan nama pengguna "xplfinder" di saluran komunikasi. Mereka menyediakan "hak akses penuh ke domain, serta kredensial admin domain, ke banyak jaringan di seluruh dunia", kata laporan tersebut. Br0k3r, yang dikenal di sektor swasta sebagai Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM, dan Lemon Sandstorm, berkolaborasi dengan afiliasi ransomware untuk menerima persentase pembayaran tebusan dari organisasi yang telah diretas, termasuk sekolah, pemerintah kota, lembaga keuangan, dan fasilitas kesehatan.
Lembaga-lembaga tersebut merekomendasikan agar organisasi meninjau log autentikasi untuk kegagalan masuk pada akun yang valid. Mereka harus memperluas pencarian ke berbagai akun untuk menemukan kejanggalan. Jika aktor ancaman memanfaatkan kredensial yang diretas pada infrastruktur virtual, organisasi harus mencari "masuk yang mustahil" dengan nama pengguna, agen pengguna, atau alamat IP yang diubah. Alamat IP ini tidak sesuai dengan lokasi geografis pengguna yang biasa. Tanda lain dari potensi upaya intrusi adalah penggunaan IP yang sama untuk banyak akun atau penggunaan IP dari berbagai lokasi dengan frekuensi yang tidak memungkinkan pengguna untuk melakukan perjalanan ke lokasi tersebut.
Selain itu, lembaga-lembaga tersebut merekomendasikan:
– Meningkatkan kesadaran pengguna tentang ancaman siber. Karyawan harus diinformasikan tentang taktik yang digunakan oleh peretas Iran dan langkah-langkah yang dapat mereka ambil untuk melindungi diri mereka sendiri dan organisasi.
– Memperkuat kontrol akses: Organisasi harus menerapkan kontrol akses yang ketat untuk melindungi sistem dan data yang sensitif. Hal ini termasuk penggunaan autentikasi multi-faktor dan pembatasan hak akses.
– Menghindari penggunaan kata sandi yang lemah: Organisasi harus mendorong karyawan untuk menggunakan kata sandi yang kuat dan unik untuk setiap akun. Kata sandi harus panjang dan kombinasi dari huruf besar, huruf kecil, angka, dan simbol.
– Menginstal pembaruan keamanan secara teratur: Organisasi harus menginstal pembaruan keamanan terbaru untuk semua software dan sistem operasi mereka. Pembaruan ini sering kali berisi perbaikan keamanan yang dapat membantu melindungi terhadap serangan siber.
– Melakukan pencadangan data secara teratur: Organisasi harus melakukan pencadangan data secara teratur dan menyimpannya di lokasi yang aman. Hal ini akan membantu mereka untuk memulihkan data jika diretas.
– Memantau jaringan secara teratur: Organisasi harus memantau jaringan mereka untuk aktivitas yang mencurigakan. Hal ini termasuk memantau log aktivitas dan mencari tanda-tanda serangan siber.
Lembaga-lembaga tersebut juga memberikan serangkaian mitigasi yang dapat meningkatkan postur keamanan organisasi terhadap taktik, teknik, dan prosedur (TTPs) yang diamati dalam aktivitas peretas Iran. Peringatan ini juga mencakup serangkaian indikator kompromi, termasuk hash untuk file berbahaya, alamat IP, dan perangkat yang digunakan dalam serangan.
Peretas Iran semakin agresif dalam menargetkan organisasi infrastruktur penting, dan mereka menggunakan metode yang semakin canggih untuk menyusup ke jaringan. Organisasi harus proaktif dalam melindungi diri mereka sendiri dengan menerapkan langkah-langkah keamanan yang kuat dan memantau jaringan mereka untuk aktivitas yang mencurigakan. Peretas Iran tidak hanya meretas sistem dan mencuri data, tetapi mereka juga menjual akses ke jaringan tersebut ke aktor-aktor ancaman lainnya. Hal ini menciptakan ancaman yang semakin besar bagi organisasi, karena mereka harus menghadapi ancaman dari berbagai sumber.
Pengembangan tools open-source dan teknik-teknik yang semakin canggih memungkinkan peretas Iran untuk melakukan serangan yang lebih efektif dan meluas. Mereka dapat menggunakan berbagai sumber daya untuk melancarkan serangan, dan mereka dapat menyesuaikan taktik mereka untuk mengatasi pertahanan yang berbeda. Organisasi harus menyadari bahwa peretas Iran tidak hanya menargetkan sistem yang rentan, tetapi juga mereka yang memiliki keamanan yang kuat. Mereka berinvestasi dalam penelitian dan pengembangan untuk menemukan kerentanan baru, dan mereka bersedia menghabiskan waktu dan upaya untuk membobol sistem yang terlindungi dengan baik.
Serangan-serangan ini berpotensi menyebabkan kerusakan yang sangat besar, baik bagi organisasi yang diretas maupun untuk infrastruktur kritis yang mendukung masyarakat. Kehilangan data, gangguan layanan, dan kerusakan finansial hanyalah sebagian dari dampak yang dapat ditimbulkan. Selain itu, peretas Iran memiliki motivasi politik yang kuat untuk melakukan serangan siber. Mereka bertujuan untuk mengganggu operasi organisasi dan merusak reputasi mereka. Serangan mereka dapat menyebabkan ketidakstabilan politik dan ekonomi, serta mengancam keamanan nasional.
Perhatian yang lebih besar harus diberikan untuk mengidentifikasi dan merespons serangan-serangan ini. Organisasi harus meningkatkan kemampuan mereka untuk mendeteksi dan menanggapi ancaman siber, serta meningkatkan kerjasama antara pemerintah dan sektor swasta. Organisasi harus berinvestasi dalam teknologi keamanan yang canggih dan menanamkan budaya keamanan yang kuat di dalam organisasi. Mereka juga harus bekerja sama dengan lembaga-lembaga pemerintah untuk berbagi informasi dan meningkatkan respons terhadap ancaman siber.
Serangan peretas Iran merupakan ancaman serius yang harus ditanggapi dengan serius. Organisasi harus mengambil langkah-langkah untuk melindungi diri mereka sendiri dan untuk memastikan keamanan infrastruktur kritis yang mendukung masyarakat. Serangan siber yang dilakukan oleh peretas Iran bukan hanya masalah keamanan siber, tetapi juga masalah keamanan nasional. Serangan ini dapat menyebabkan konsekuensi yang luas dan berpotensi memicu konflik global. Peningkatan kesadaran dan kolaborasi global sangat penting untuk melawan ancaman yang terus berkembang ini.
