Cyberthreat.id – Para peneliti keamanan siber SentinelLabs—bagian dari SentinelOne—mendeteksi serangan siber yang menargetkan entitas Israel. Asal seranga ditengarai dari peretas (hacker) yang berafiliasi dengan Iran.

Geng peretas itu menyamarkan serangan spionase dalam bentuk ransomware. Peneliti menjuluki geng tersebut dengan “Agrius” yang diduga telah beroperasi menargetkan Israel sejak Desember 2020. Sayangnya, tidak dijelaskan organisasi apa yang menjadi target serangan tersebut.

Dalam laporannya, peneliti mengatakan, geng tersebut menyebarkan malware penghapus (wiper) bernama “Deadwood” (atau Detbosit) yang didesain untuk menghancurkan/menghapus seluruh data pada perangkat terinfeksi. Sebelumnya, malware ini dipakai untuk menargetkan entitas di Arab Saudi pada 2019.

Para penyerang menggunakan beberapa vektor serangan, termasuk SQL injection, kerentanan FortiOS (CVE-2018-13379), dan kerentanan aplikasi 1-day web.

Menurut peneliti, geng tersebut telah mengembangkan malware .NET kustom yang diberi nama “IPsec Helper” dirancang untuk kemampuan pintu belakang dasar dan membantu mengirimkan malware tambahan pada mesin yang disusupi dan mengekstrak data.

Daftar lengkap semua perintah yang didukung oleh backdoor IPsec Helper tersedia di laporan ini

Agrius bukanlah kelompok ancaman pertama terkait dengan Iran yang menyebarkan malware penghapus yang merusak terhadap target Timur Tengah.

Kelompok peretas APT33 yang dicurigai mendapat sokongan Iran ialah operator di balik beberapa serangan yang menggunakan wiper berjuluk “Shamoon” dengan target dari Timur Tengah dan Eropa, tulis BleepingComputer, diakses Rabu (26 Mei 2021).

Lainnya, malware penghapus data yang dijuluki “ZeroCleare” oleh peneliti IBM dan dikembangkan oleh aktor ancaman yang didukung Iran dilacak sebagai APT34 (alias Oilrig, ITG13) dan Hive0081 (alias xHunt) juga terlihat dalam serangan yang menargetkan organisasi dari sektor energi dan industri di Timur Tengah.

Cybersecurity and Infrastructure Security Agency (CISA) Amerika Serikat sebelumnya memperingatkan pada Juni 2019 tentang peningkatan serangan siber yang didukung Iran yang menggunakan alat penghapus destruktif terhadap industri AS dan lembaga pemerintah.

Grup peretasan lain yang didukung Iran yang dikenal sebagai “Fox Kitten” juga telah dikaitkan dengan operasi ransomware Pay2Key yang menargetkan organisasi dari Israel dan Brasil sejak November 2020.

"Penggunaan ransomware sebagai alat yang mengganggu biasanya sulit dibuktikan, karena sulit untuk menentukan niat pelaku ancaman," peneliti SentinelLabs menyimpulkan.[]

Redaktur: Andi Nugroho