Cyberthreat.id - Badan keamanan siber Amerika Serikat, Inggris, dan Australia pada Rabu (17 November 2021) mengeluarkan seruan bersama terkait aktivitas hacker Iran yang disponsori negara. Seruan ini menyusul laporan Microsoft sehari sebelumnya.

Seruan bersama oleh FBI, CISA, ACSC Australia dan NCSC Inggris, memperingatkan tentang  eksploitasi server Fortinet dan Microsoft Exchange sebagai cara untuk menembus jaringan perusahaan.

Keempat lembaga tersebut, seperti dilaporkan The Record, memberikan contoh serangan masa lalu di mana kelompok Iran menggunakan dua teknologi ini sebagai titik masuk:

1. Pada Maret 2021, FBI dan CISA mengamati aktor APT yang disponsori pemerintah Iran ini memindai perangkat pada port 4443, 8443, dan 10443 untuk kerentanan Fortinet FortiOS CVE-2018-13379, dan menghitung perangkat untuk kerentanan FortiOS CVE-2020-12812 dan CVE-2019-5591. Aktor APT yang disponsori Pemerintah Iran kemungkinan mengeksploitasi kerentanan ini untuk mendapatkan akses ke jaringan yang rentan.
Catatan: untuk pelaporan FBI dan CISA sebelumnya tentang aktivitas ini, lihat Seruan Keamanan Siber Bersama: Aktor APT Mengeksploitasi Kerentanan untuk Mendapatkan Akses Awal untuk Serangan di Masa Mendatang.
   
2. Pada Mei 2021, aktor APT yang disponsori pemerintah Iran ini mengeksploitasi alat Fortigate untuk mengakses server web yang menghosting domain untuk pemerintah kota AS. Para aktor kemungkinan membuat akun dengan nama pengguna 'elie' untuk lebih mengaktifkan aktivitas jahat.
Catatan: untuk pelaporan FBI sebelumnya tentang aktivitas ini, lihat: FBI FLASH: Aktor APT yang Mengeksploitasi Kerentanan Fortinet untuk Mendapatkan Akses Awal untuk Aktivitas Berbahaya.
 
3. Pada Juni 2021, para aktor APT ini mengeksploitasi alat Fortigate untuk mengakses jaringan kontrol lingkungan yang terkait dengan rumah sakit berbasis di AS yang mengkhususkan diri dalam perawatan kesehatan untuk anak-anak. Aktor APT yang disponsori pemerintah Iran kemungkinan memanfaatkan server yang ditetapkan ke alamat IP 91.214.124[.]143 dan 162.55.137[.]20—yang dinilai FBI dan CISA terkait dengan aktivitas dunia maya pemerintah Iran—untuk lebih mengaktifkan aktivitas jahat terhadap jaringan rumah sakit. Pelaku APT mengakses akun pengguna yang dikenal di rumah sakit dari alamat IP 154.16.192[.]70, yang menurut FBI dan CISA terkait dengan aktivitas siber ofensif pemerintah Iran.

4. Mulai Oktober 2021, aktor APT ini telah memanfaatkan kerentanan Microsoft Exchange ProxyShell—CVE-2021-34473—untuk mendapatkan akses awal ke sistem sebelum operasi lanjutan.

Seruan bersama ini, tersedia di situs CISA dan ACSC, juga mencakup perincian tentang teknik dan alat yang digunakan peretas Iran setelah membahayakan server Fortinet dan Exchange, alat yang mereka gunakan untuk bergerak melintasi jaringan.

Kelompok Iran menjadi ransomware

Mirip dengan laporan Microsoft, seruan bersama itu juga menyebutkan bahwa dalam beberapa kasus, kelompok Iran juga menyebarkan ransomware di dalam beberapa jaringan yang diretas.

Namun begitu, laporan Microsoft lebih luas daripada peringatan gabungan FBI, CISA, NCSC, dan ACSC dan berfokus untuk menjelaskan bagaimana enam kelompok Iran telah berevolusi dalam beberapa tahun terakhir menjadi ancaman yang sangat canggih yang dapat memvariasikan teknik mereka dan memiliki gudang malware yang luas. (Lihat: Microsoft Wanti-wanti Soal Evolusi Enam Geng Hacker Iran)

Ini termasuk penggunaan malware desktop dan seluler, penghapus disk, ransomware, teknik phishing canggih, serangan brute force dan penyemprotan kata sandi, beberapa trik rekayasa sosial paling canggih saat ini, dan eksploitasi jaringan.

Microsoft mengatakan bahwa salah satu perbedaan terbesar dari tahun-tahun sebelumnya adalah bahwa kelompok-kelompok Iran sekarang menunjukkan lebih banyak kesabaran, beberapa di antaranya dapat memakan waktu berminggu-minggu sampai tujuan mereka tercapai.

Selain itu, dalam beberapa insiden, serangan siber mendukung operasi fisik, sementara di kasus lain, mereka mendukung operasi spionase atau informasi.

Ini menunjukkan bahwa rezim Iran belajar dari negara lain bahwa unit siber mereka dapat digunakan lebih dari sekadar pengumpulan intelijen dan pelacakan pembangkang.

Laporan Microsoft, yang ditindaklanjuti oleh nasehat bersama AS, Inggris, dan Australia, menunjukkan bahwa meskipun aktor ancaman Iran mungkin tidak secanggih rekan-rekan AS, Israel, Rusia, atau China, mereka perlahan-lahan mengejar.[]