Cyberthreat.id – Sekitar 200 akun Facebook dihapus karena dituding bagian dari operasi spionase siber Iran. Facebook mengatakan, pada Kamis (15 Juli 2021), akun-akun tersebut dioperasikan oleh sekelompok peretas Iran.

Mereka menargetkan sebagian besar personel militer AS dan orang-orang yang bekerja di perusahaan pertahanan dan antariksa, tulis Reuters, diakses Jumat (16 Juli).

Menurut Facebook, di kalangan peneliti keamanan siber, kelompok peretas itu dengan sebutan “Tortoiseshell”.

Dalam operasinya, mereka menggunakan profil online palsu untuk mengontak target, terkadang membangun kedekatan selama beberapa bulan, dan mengarahkan korban ke situs web tertentu untuk mengklik tautan jahat berisi malware yang akan menginfeksi perangkat korban.

Facebook menyebutkan, kelompok peretas itu membuat profil fiktif di berbagai platform media sosial agar tampak lebih kredibel, dan seringkali menyamar sebagai perekrut atau karyawan perusahaan antariksa dan pertahanan.

Terkait temuan itu, LinkedIn, media sosial milik Microsoft, mengatakan telah menghapus sejumlah akun terkait, begitu juga dengan Twitter sedang aktif menyelidiki informasi dalam laporan Facebook tersebut.

Berbekal email

Facebook mengatakan kelompok itu menggunakan layanan email, aplikasi pesan, dan kolaborasi keduanya untuk mendistribusikan malware, termasuk melalui spreadsheet Microsoft Excel yang telah dipersenjatai kode jahat.

Seorang juru bicara Microsoft mengatakan dalam sebuah pernyataan bahwa mereka telah mengetahui dan melacak aktor tersebut dan akan mengambil tindakan ketika mendeteksi aktivitas jahat.

Google juga mengatakan telah mendeteksi dan memblokir phishing di Gmail dan mengeluarkan peringatan kepada penggunanya. Aplikasi pesan, Slack, buatan Slack Technologies Inc juga telah bertindak untuk menjatuhkan peretas yang menggunakan situs tersebut untuk rekayasa sosial dan menutup semua fiur “ruang kerja” yang melanggar aturannya.

Peretas menggunakan domain yang disesuaikan untuk menarik calon korban, kata Facebook, termasuk situs web perekrutan palsu untuk perusahaan pertahanan. Sebagian besar target ialah orang-orang di Amerika Serikat, serta beberapa di Inggris dan Eropa, dalam operasi yang berjalan sejak pertengahan 2020.

Facebook mengatakan telah memblokir domain berbahaya agar tidak dibagikan dan Google mengatakan telah menambahkan domain ke "daftar blokir".

Sebelumnya, sebuah penyelidikan menemukan bahwa sebagian dari malware yang digunakan oleh kelompok tersebut dikembangkan oleh Mahak Rayan Afraz (MRA), seorang IT perusahaan yang berbasis di Teheran yang diduga terkait dengan Korps Pengawal Revolusi Islam (IRGC).

Dugaan hubungan MRA dengan spionase dunia maya negara Iran bukanlah hal baru. Tahun lalu, perusahaan keamanan siber Recorded Future mengatakan MRA adalah salah satu dari beberapa kontraktor yang dicurigai melayani Pasukan Quds elit IRGC.

Mata-mata pemerintah Iran, seperti layanan spionase lainnya, telah lama dicurigai menyebarkan misi mereka ke sejumlah kontraktor domestik.[]