Cyberthreat.id – Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS pada hari Rabu mengumumkan sanksi besar-besaran terhadap sepuluh individu dan dua entitas yang didukung oleh Korps Pengawal Revolusi Islam (IRGC) Iran atas keterlibatan mereka dalam serangan ransomware setidaknya sejak Oktober 2020.

Badan tersebut mengatakan aktivitas dunia maya yang dipasang oleh individu sebagian disebabkan oleh kumpulan intrusi yang dilacak dengan nama APT35, Charming Kitten, Nemesis Kitten, Phosphorus, dan TunnelVision.

"Kelompok ini telah meluncurkan kampanye ekstensif terhadap organisasi dan pejabat di seluruh dunia, terutama menargetkan personel pertahanan, diplomatik, dan pemerintah AS dan Timur Tengah, serta industri swasta termasuk media, energi, layanan bisnis, dan telekomunikasi," kata Departemen Keuangan Melansir The Hacker News, Kamis (15/9).

Aktor Nemesis Kitten, yang juga dikenal sebagai Cobalt Mirage, DEV-0270, dan UNC2448, telah berada di bawah pemindai dalam beberapa bulan terakhir karena pola serangan ransomware untuk menghasilkan pendapatan oportunistik menggunakan alat BitLocker bawaan Microsoft untuk mengenkripsi file pada file yang disusupi. perangkat.

Microsoft dan Secureworks telah mengkarakterisasi DEV-0270 sebagai subkelompok Fosfor (alias Cobalt Illusion), dengan ikatan dengan aktor lain yang disebut sebagai TunnelVision. Pembuat Windows juga menilai dengan keyakinan rendah bahwa "beberapa serangan ransomware DEV-0270 adalah bentuk kerja sampingan untuk menghasilkan pendapatan pribadi atau khusus perusahaan."

Terlebih lagi, analisis independen dari dua perusahaan keamanan siber serta Mandiant milik Google telah mengungkapkan hubungan grup tersebut dengan dua perusahaan Najee Technology (yang berfungsi di bawah alias Secnerd dan Lifeweb) dan Afkar System, yang keduanya telah dikenakan sanksi AS. 

Perlu dicatat bahwa koneksi Najee Technology dan Afkar System ke badan intelijen Iran pertama kali ditandai oleh entitas rezim anti-Iran anonim bernama Lab Dookhtegan awal tahun ini.

"Model fungsi intelijen pemerintah Iran menggunakan kontraktor mengaburkan garis antara tindakan yang ditugaskan oleh pemerintah dan tindakan yang diambil oleh perusahaan swasta atas inisiatifnya sendiri," kata Secureworks dalam laporan baru yang merinci aktivitas Cobalt Mirage.

Sementara hubungan yang tepat antara kedua perusahaan dan IRGC masih belum jelas, metode perusahaan swasta Iran yang bertindak sebagai front atau memberikan dukungan untuk operasi intelijen sudah mapan selama bertahun-tahun, termasuk ITSecTeam (ITSEC), Mersad, Emennet Pasargad, dan Rana Intelligence. Perusahaan Komputasi.

Selain itu, penyelidikan Secureworks atas insiden Cobalt Mirage Juni 2022 menunjukkan metadata yang terkait dengan file PDF yang berisi teks tebusan telah menandai Ahmad Khatibi sebagai penciptanya, yang kebetulan adalah CEO dan pemilik perusahaan Iran Afkar System.

Ahmad Khatibi Aghda juga merupakan bagian dari 10 orang yang dikenai sanksi oleh AS, bersama Mansour Ahmadi, CEO Najee Technology, dan karyawan lain dari dua perusahaan yang dikatakan terlibat dalam menargetkan berbagai jaringan secara global dengan memanfaatkan kelemahan keamanan yang terkenal. untuk mendapatkan akses awal ke serangan lanjutan lebih lanjut.

Beberapa kelemahan yang dieksploitasi, menurut penasehat keamanan siber bersama yang dirilis oleh Australia, Kanada, Inggris, dan AS, sebagai bagian dari aktivitas aktor yang berafiliasi dengan IRGC.

"Khatibi adalah salah satu pelaku cyber yang memperoleh akses tidak sah ke jaringan korban untuk mengenkripsi jaringan dengan BitLocker dan meminta tebusan untuk kunci dekripsi," kata pemerintah AS, selain menambahkannya ke daftar Paling Dicari FBI.

"Dia menyewa infrastruktur jaringan yang digunakan untuk mendukung aktivitas kelompok siber jahat ini, dia berpartisipasi dalam mengkompromikan jaringan korban, dan dia terlibat dalam negosiasi tebusan dengan para korban."

Bertepatan dengan sanksi tersebut, Departemen Kehakiman secara terpisah mendakwa Ahmadi, Khatibi, dan warga negara Iran ketiga bernama Amir Hossein Nickaein Ravari karena terlibat dalam skema pemerasan kriminal untuk menimbulkan kerusakan dan kerugian bagi para korban yang berada di AS, Israel, dan Iran.

Ketiga orang tersebut telah didakwa dengan satu tuduhan berkonspirasi untuk melakukan penipuan komputer dan aktivitas terkait sehubungan dengan komputer; satu hitungan sengaja merusak komputer yang dilindungi; dan satu hitungan mengirimkan permintaan sehubungan dengan kerusakan komputer yang dilindungi. Ahmadi juga telah didakwa dengan satu tuduhan sengaja merusak komputer yang dilindungi.