- Google menemukan bahwa APT42, hacker dari Iran, menargetkan kampanye presiden AS.
- APT42 mengincar kampanye Demokrat dan Republik, menunjukkan bahwa mereka ingin mendapatkan informasi dari kedua pihak.
- Google menyatakan bahwa mereka memblokir upaya APT42 untuk membobol akun pejabat kampanye dan memperingatkan individu yang terkena dampak.
pibitek.biz -Ketika kampanye presiden Donald Trump mengumumkan bahwa mereka menjadi sasaran serangan hacker Iran, orang mungkin mengira bahwa Iran lebih fokus pada kandidat yang dianggap lebih keras terhadap rezim mereka. Namun, ternyata Iran juga mengincar kandidat Demokrat. Google mengumumkan bahwa kedua kampanye menjadi target serangan siber, dan lebih mengejutkan lagi, serangan ini dilakukan oleh grup hacker yang sama yang bekerja untuk Garda Revolusi Iran. Tim Analisis Ancaman Google, dalam laporan terbaru mereka, mengungkap bahwa APT42, sebuah kelompok hacker yang diduga bekerja untuk Garda Revolusi Iran (IRGC), telah secara agresif berusaha untuk membobol sistem kampanye presiden Demokrat dan Republik, serta organisasi militer, pemerintah, dan diplomatik Israel.
2 – Bahaya AI: ChatGPT Digunakan untuk Kembangkan Malware 2 – Bahaya AI: ChatGPT Digunakan untuk Kembangkan Malware
3 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata 3 – SimpliSafe Rilis Layanan Pemantauan Aktif Waktu Nyata
Pada Mei dan Juni, APT42 mengincar sekitar selusin orang yang terkait dengan kampanye Trump dan Joe Biden, termasuk pejabat pemerintah saat ini dan mantan pejabat, serta individu yang terkait dengan kedua kampanye politik tersebut. Menurut Google, APT42 terus mengincar para pejabat kampanye Republik dan Demokrat. "Mereka mengincar semua pihak", ujar John Hultquist, kepala intelijen ancaman di Mandiant, perusahaan keamanan siber milik Google yang bekerja sama dengan Tim Analisis Ancaman. Hultquist menekankan bahwa kegiatan mata-mata siber yang tidak memihak ini tidak mengejutkan, mengingat APT42 juga mengincar kampanye Biden dan Trump pada tahun 2020.
Tujuan APT42 tidak selalu menunjukkan preferensi terhadap satu kandidat, melainkan karena kedua kandidat, Trump dan sekarang Wakil Presiden Kamala Harris, memiliki makna besar bagi pemerintah Iran. "Mereka tertarik pada kedua kandidat karena mereka yang menentukan arah kebijakan Amerika di Timur Tengah", kata Hultquist. Namun, hanya satu kampanye yang tampaknya mengalami kebocoran file sensitifnya, bukan hanya karena diretas oleh hacker Iran, tetapi juga karena bocor ke pers, seperti pengulangan operasi hack-and-leak Rusia pada tahun 2016 yang menargetkan kampanye Hillary Clinton.
Politico, The Washington Post, dan The New York Times semuanya mengatakan bahwa mereka telah ditawarkan dokumen yang diduga diambil dari kampanye Trump, dalam beberapa kasus oleh sumber yang dikenal sebagai "Robert". Apakah file-file tersebut benar-benar diretas oleh APT42 masih belum dikonfirmasi. Microsoft minggu lalu mencatat bahwa APT42, yang mereka sebut Mint Sandstorm, telah mengincar "pejabat tinggi di kampanye presiden" pada bulan Juni dengan mengeksploitasi akun email yang diretas dari "mantan penasihat senior" kampanye tersebut.
Google dalam laporannya juga mencatat bahwa APT42 "berhasil mengakses akun Gmail pribadi seorang konsultan politik terkemuka". Meskipun tidak ada perusahaan yang mengonfirmasi siapa saja individu yang diretas oleh kelompok hacker Iran tersebut, Roger Stone, penasihat Trump, mengumumkan bahwa ia telah diberi tahu oleh Microsoft dan kemudian oleh FBI bahwa akun Microsoft dan Gmail-nya telah diretas oleh hacker. Google menyatakan bahwa mereka telah memblokir "banyak" upaya login ke akun para pejabat di kedua kampanye, telah mengirimkan peringatan kepada individu yang terkena dampak, dan telah bekerja sama dengan penegak hukum yang menyelidiki upaya pembobolan ini.
Menurut The Post, FBI memulai penyelidikan mereka terhadap serangan phishing ini pada bulan Juni. APT42 telah lama menjadi salah satu, atau mungkin yang paling aktif, kelompok hacker Iran di Timur Tengah, menurut Hultquist dari Mandiant. Namun, Hultquist mencatat bahwa kelompok ini "cukup terbatas pada kegiatan mata-mata" di masa lalu.
Ia menunjukkan bahwa IRGC secara keseluruhan telah menggunakan akses mereka ke jaringan korban untuk melakukan tindakan yang jauh melampaui mata-mata di masa lalu, merilis serangan siber yang merusak data atau meretas dan membocorkan email dalam apa yang disebut "operasi pengaruh", seperti yang mungkin terjadi pada kasus kampanye Trump. "Ini adalah pengingat bahwa setiap akses yang diperoleh untuk mata-mata dapat digunakan untuk tujuan lain", kata Hultquist. Dalam laporannya, Google menguraikan operasi phishing khas APT42, yang berkisar dari mengarahkan korban ke halaman Google Meet palsu yang mencoba menipu mereka untuk memasukkan nama pengguna dan kata sandi mereka hingga memancing mereka ke dalam percakapan di platform pesan seperti Telegram, WhatsApp, atau Signal, di mana hacker kemudian mengirimkan kepada korban toolkit phishing yang dirancang untuk mencegat kredensial mereka, serta kode autentikasi dua faktor atau kode pemulihan akun.
Selain menargetkan kampanye presiden, Google mengatakan bahwa APT42 juga secara aktif menargetkan organisasi Israel dengan situs web phishing yang menyamar sebagai kelompok Israel dan terkait Israel, seperti Washington Institute for Near East Policy, Brookings Institution, Jewish Agency, dan Project Aladdin. Penargetan politik bipartisan APT42 – dan kaitannya yang samar dengan kampanye hack-and-leak – harus menjadi pengingat betapa hacking untuk pengaruh politik dalam pemilihan AS telah berkembang sejak operasi pengaruh Rusia yang terkenal pada tahun 2016, kata Hultquist, dengan efek yang masih terungkap."Ini bukan hanya masalah Rusia lagi. Masalah ini lebih luas dari itu", kata Hultquist. "Ada banyak tim yang terlibat. Dan kita harus mengawasi mereka semua".
