Cyberthreat.id – Iran menggerakkan dua kelompok siber canggih untuk operasi spionasenya, dikenal dengan sebutan twin cyber. Mereka menyasar warga Iran yang dinilai mengancam stabilitas negaranya, termasuk pembangkang, oposisi, dan pendukung ISIS, serta penduduk asli Kurdi. “Disponsori negara Iran,” tulis The Hacker News, Senin (8 Februari 2021).

Dua kelompok itu adalah Domestic Kitten (atau APT-C-50) dan Infy yang juga populer sebagai Prince of Persia. Mereka bekerja secara independen, artinya tidak ada keterkaitan secara langsung di antara keduanya. Indikasi sinergi terlihat pada efek serangannya, mereka menggunakan  dua set vektor serangan yang berbeda untuk menyerang target yang sama.

Laman The Hacker News menguraikan, firma keamanan siber Check Point mengungkapkan bukti baru dan terkini dari aktivitas spionase yang melibatkan penggunaan perangkat perusak yang diubah serta perangkat lunak perusak. Menipu pengguna untuk mengunduh perangkat lunak berbahaya dengan kedok aplikasi populer.

"Targetnya perangkat seluler individu dan komputer pribadi," kata peneliti Check Point dalam analisis baru. "Operatornya jelas aktif, responsif dan terus mencari vektor dan teknik serangan baru untuk memastikan kelangsungan operasi mereka.”

Kucing Domestik

Domestic Kitten, telah aktif sejak 2016, aplikasi Android berbahaya yang mengumpulkan informasi sensitif seperti pesan SMS, log panggilan, foto, video, data lokasi, dan rekaman suaranya.

Menurut Check Point, pada serangan terbaru pada November 2020 ditemukan aktor APT-C-50 memanfaatkan berbagai macam aplikasi sampul, termasuk VIPRE Mobile Security (aplikasi keamanan seluler palsu), Exotic Flowers (varian game yang dikemas ulang tersedia di Google Play), dan Iranian Woman Ninja (aplikasi wallpaper), untuk mendistribusikan malware bernama FurBall.

Operasi November terbaru juga demikian, memanfaatkan aplikasi palsu Mohsen Restaurant yang terletak di Teheran untuk mencapai tujuan yang sama dengan memikat korban agar menginstal aplikasi dengan banyak vektor - pesan SMS dengan tautan untuk mengunduh malware, blog Iran yang menghosting muatan, dan bahkan dibagikan melalui saluran Telegram.

Target utama serangan itu termasuk 1.200 orang yang berada di Iran, AS, Inggris Raya, Pakistan, Afghanistan, Turki, dan Uzbekistan, kata para peneliti, dengan lebih dari 600 infeksi yang berhasil dilaporkan.

Setelah diinstal, FurBall mengeksekusi aplikasi setiap kali secara otomatis saat perangkat dimulai dan mulai mengumpulkan riwayat browser, informasi perangkat keras, file pada kartu SD eksternal, dan secara berkala mengekstrak video, foto, dan catatan panggilan setiap 20 detik.

Ini juga memonitor konten clipboard, mendapatkan akses ke semua notifikasi yang diterima oleh perangkat, dan dilengkapi dengan kemampuan untuk menjalankan perintah dari jarak jauh yang dikeluarkan dari server command-and-control (C2) untuk merekam audio, video, dan panggilan telepon.

Menariknya, FurBall tampaknya didasarkan pada Spyware yang tersedia secara komersial yang disebut KidLogger, yang menyiratkan para aktor "baik memperoleh kode sumber KidLogger, atau merekayasa ulang sampel dan menghapus semua bagian yang tidak terkait, kemudian menambahkan lebih banyak kemampuan."

Pangeran Persia

Pertama kali ditemukan pada Mei 2016 oleh Palo Alto Networks, aktivitas baru Infy (juga disebut Prince of Persia) pada April 2020 menandai kelanjutan dari operasi dunia maya yang menargetkan para pembangkang Iran dan lembaga diplomatik di seluruh Eropa selama lebih dari satu dekade.

Pada Juni 2016, operasi siber Pangeran Persia ini ditaklukkan oleh Palo Alto Networks untuk menenggelamkan infrastruktur C2 grup, kemudian Infy muncul lagi pada Agustus 2017 dengan teknik anti-pengambilalihan bersama pencuri info Windows baru bernama Foudre.

Peneliti Claudio Guarnieri dan Collin Anderson pada Juli 2016, mengungkapkan grup tersebut memiliki hubungan dengan Perusahaan Telekomunikasi Iran. Ditemukan sebagian dari domain C2 yang dialihkan ke sinkhole diblokir oleh gangguan DNS dan penyaringan HTTP, sehingga mencegah akses ke sinkhole.

Kemudian pada 2018, Intezer Labs menemukan versi baru malware Foudre, yang disebut versi 8, yang juga berisi "biner tidak dikenal" - sekarang Check Point menamakan Tonnerre yang digunakan untuk memperluas kemampuan malware sebelumnya.

Setelah Downtime

Penyerang siber dari Iran, kini berkonsolidasi, memperbaiki masalah sebelumnya. “Memperkuat aktivitas OPSEC mereka serta kemampuan teknis dan kemampuan alat mereka," kata para peneliti. Sebanyak tiga versi Foudre (20-22) telah ditemukan sejak April 2020, dengan varian baru mengunduh Tonnerre 11 sebagai muatan tahap berikutnya.

Rantai serangan dimulai dengan mengirimkan email phishing yang berisi dokumen iming-iming yang ditulis dalam bahasa Persia, yang ketika ditutup, menjalankan makro jahat yang menjatuhkan dan menjalankan Foudre, yang kemudian terhubung ke server C2 untuk mengunduh implan Tonnerre.

Selain menjalankan perintah dari server C2, merekam suara, dan menangkap tangkapan layar, yang membuat Tonnerre menonjol adalah penggunaan dua set server C2 - satu untuk menerima perintah dan mengunduh pembaruan menggunakan HTTP dan server kedua tempat data yang dicuri dieksfiltrasi melalui FTP.

Menurut catatatan peneliti, pada 56MB, ukuran Tonnerre yang tidak biasa juga cenderung bekerja untuk mendukungnya dan menghindari deteksi karena banyak vendor mengabaikan file besar selama pemindaian malware.

Namun, tidak seperti Domestic Kitten, hanya beberapa lusin korban yang ditemukan menjadi sasaran dalam serangan ini, termasuk korban dari Irak, Azerbaijan, Inggris, Rusia, Rumania, Jerman, Kanada, Turki, AS, Belanda, dan Swedia.

"Operator spionase dunia maya Iran ini tampaknya sama sekali tidak terpengaruh oleh tindakan balasan apa pun yang dilakukan oleh orang lain, meskipun mereka terungkap dan bahkan dihentikan di masa lalu - mereka tidak berhenti," kata Yaniv Balmas dari Check Point. “Perlu dicatat, rezim Iran sangat banyak menghabiskan sumber daya untuk mengerahkan kendalinya.”[]