Cyberthreat.id – Peneliti Cisco Talos, perusahaan keamanan siber, mengatakan, ada upaya peretas (cracker) yang didukung negara menyerang veteran militer Amerika Serikat dengan malware lewat situs web berbahaya.

Dalam laporannya yang dikutip dari ZDNet, Rabu (25 September 2019), Cisco Talos menuding peretas itu didukung pemerintah Iran.

Situs web yang disebut berbahaya itu beralamat di hiremilitaryheroes[.]com dan menawarkan aplikasi desktop palsu untuk diunduh. Peretas tampaknya mengharapkan veteran militer AS mengunduh dan memasangnya untuk mendapatkan akses ke tawaran pekerjaan.

Peneliti Cisco Talos mengatakan aplikasi hanya menginstal malware pada sistem pengguna dan menunjukkan pesan kesalahan; artinya instalasi gagal.

Namun, di belakang layar, malware terus beroperasi di komputer atau gawai korban, mengumpulkan informasi tentang spesifikasi teknis sistem dan mengirim data ke kotak masuk Gmail yang dikendalikan penyerang.

Jenis data yang dikumpulkan malware meliputi informasi tentang sistem, tingkat tambalan, jumlah prosesor, konfigurasi jaringan, perangkat keras, versi firmware, pengontrol domain, nama admin, daftar akun, tanggal, waktu, driver, dll.

"Ini adalah sejumlah besar informasi yang berkaitan dengan mesin dan membuat penyerang siap untuk melakukan serangan tambahan," kata Warren Mercer, Paul Rascagneres, dan Jungsoo An, tiga peneliti Cisco Talos yang menganalisis malware itu.

Selain komponen pengumpulan data, malware ini juga menginstal trojan akses jarak jauh (RAT), sejenis malware yang dapat memberikan akses kepada penyerang melalui sistem yang terinfeksi.

Menurut laporan Cisco Talos, komponen RAT dapat menjalankan file yang diunduh dari internet, menjalankan perintah shell, dan menghapus sendiri dari komputer host, jika diperlukan.

Modus operandi

Modus operandi peretas tampaknya menggunakan identitas veteran militer palsu yang menyewa situs web untuk menginfeksi korban. Selanjutnya, mereka memilih target yang ingin mereka kejar dan mengunduh muatan tambahan.

Sumber ZDNet di Departemen Keamanan Dalam Negeri (Department of Homeland Security/DHS) AS, yaitu analis cybersecurity mengatakan, para penyerang jelas mengejar jaringan militer.

"Para peretas tidak menargetkan veteran, tetapi ‘yang akan segera menjadi veteran’," katanya. "Mereka menargetkan prajurit aktif untuk mencari pekerjaan ketika menjelang mereka pensiun.”

"Mereka [para peretas] berharap bahwa salah satu target mereka akan menggunakan sistem DOD untuk mengunduh dan menjalankan malware," tutur dia.

"Peluangnya memang rendan, tapi pendekatan yang cukup pintar,” ia menambahkan.

Cisco Talos mengatakan tidak memiliki perincian tentang metode yang digunakan peretas untuk menyebarkan tautan ke situs web dan menipu korban untuk memasang malware.

Tim Cisco Talos juga menghubungkan kampanye ini dengan karya kelompok peretasan yang disponsori negara yang baru-baru ini ditemukan bernama Tortoiseshell dan diyakini beroperasi di bawah perlindungan pemerintah Iran.

Tidak banyak yang diketahui tentang grup ini, yang operasinya baru-baru ini menjadi yang terdepan, setelah penerbitan laporan Symantec pekan lalu.

Menurut Symantec, kelompok itu sebelumnya terlihat terlibat dalam serangan rantai pasokan terhadap 11 penyedia TI yang berbasis di Arab Saudi. Diyakini bahwa tujuan serangan ini adalah untuk menggunakan infrastruktur ke-11 perusahaan untuk menjatuhkan malware di jaringan pelanggan masing-masing.

Pada Februari 2019, pemerintah AS secara resmi mendakwa mantan agen intelijen Angkatan Udara AS atas dugaan pengkhianatan setelah ia melarikan diri ke Iran pada 2013 dan kemudian bekerja untuk membantu kru peretasan pemerintah Iran untuk menargetkan dan meretas mantan rekan Angkatan Udara.

Sejauh ini bukti serangan yang ditudingkan Cisco Talos belum membuktikan secara jelas apakah serangan terhadap veteran militer AS memang terafiliasi dengan pemerintah Iran.