Cyberthreat.id - Unit keamanan siber militer Amerika Serikat US Cyber Command pada hari Rabu secara resmi mengumumkan adanya hubungan antara kelompok peretas MuddyWater dengan Kementerian Intelijen dan Keamanan Iran. Disebutkan, MuddyWater beroperasi di bawah  Kementerian Intelijen dan Keamanan Iran.

Dilansir CNN, ini adalah pertama kalinya pemerintah Amerika Serikat mengumumkan secara terbuka tentang adanya hubungan antara kementerian intelijen Iran dengan MuddyWater yang dalam  beberapa tahun terakhir mencoba menyedot data dari perusahaan telekomunikasi dan organisasi lain di Timur Tengah.

Komando Siber AS juga mengungkap  beberapa perangkat lunak sumber terbuka yang digunakan oleh kelompok peretas dalam upaya untuk menggagalkan serangan lanjutan.  MuddyWater diduga menggunakan alat tersebut untuk mendapatkan akses ke jaringan komputer global.

Seorang juru bicara Komando Cyber ​​AS mengatakan pengungkapan kelompok peretasan memberikan “gambaran holistik tentang bagaimana peretas Iran mungkin mengumpulkan informasi melalui penggunaan malware.

Badan intelijen Iran mengidentifikasi lawan politik melalui pengawasan domestik dan “menyelidiki aktivis anti-rezim di luar negeri melalui jaringan agennya yang ditempatkan di kedutaan besar Iran, menurut Komando Siber AS, mengutip penelitian dari Layanan Penelitian Kongres.

Kementerian luar negeri Iran tidak segera menanggapi permintaan komentar pada hari Rabu.

“Iran memiliki banyak tim yang melakukan spionase siber, serangan siber, dan operasi informasi,” kata Sarah Jones, analis utama senior di perusahaan keamanan siber Mandiant.

"Dinas keamanan yang mensponsori aktor-aktor ini, MOIS dan IRGC, menggunakan mereka untuk mengalahkan musuh dan pesaing Iran di seluruh dunia," tambahnya.

MuddyWater telah menjadi komponen kunci dari aparat spionase dunia maya Iran, menurut para analis. Peretas, misalnya, melakukan upaya selama berbulan-bulan untuk menembus jaringan pemerintah di Turki, Yordania, dan Irak yang dimulai pada 2019 dan berlanjut setelah militer AS membunuh seorang jenderal top Iran pada Januari 2020.
Kelompok ini juga telah mencoba untuk membobol organisasi di Amerika Utara.

Menurut Bleeping Computer, MuddyWater juga dikenal dengan nama lain seperti SeedWorm dan  TEMP.Zagros. Keberadaannya mulai terendus sejak 2017.

US Cyber Command juga membagikan beberapa sampel malware yang digunakan oleh MuddyWater, seperti beberapa varian PowGoop, pemuat DLL yang dirancang untuk mendekripsi dan menjalankan pengunduh malware berbasis PowerShell.

Sampel JavaScript yang digunakan pada perangkat yang disusupi menggunakan pemuat PowGoop dan sampel pintu belakang Mori yang menampilkan kemampuan komunikasi tunneling DNS dan digunakan dalam kampanye spionase juga dibagikan hari ini di VirusTotal.

"Jika Anda melihat kombinasi alat ini, aktor MOIS Iran MuddyWater mungkin ada di jaringan Anda. MuddyWater telah terlihat menggunakan berbagai teknik untuk mempertahankan akses ke jaringan korban," tambah US Cyber Command.

"Ini termasuk DLL pemuatan samping untuk mengelabui program yang sah agar menjalankan malware dan mengaburkan skrip PowerShell untuk menyembunyikan fungsi perintah dan kontrol." []