
Ilustrasi | Foto: WSJ.com
Ilustrasi | Foto: WSJ.com
Cyberthreat.id – Serangan peretas (hacker) tak hanya menargetkan lembaga keuangan dan pemerintahan, tapi juga kalangan aktivitas, jurnalis, dan pembela hak asasi manusia.
Baru-baru ini, peneliti Certfa Lab—organisasi keamanan siber berkantor di London, Inggris yang fokus pada ancaman peretas Iran—mendeteksi pergerakan kelompok hacker berjuluk “Charming Kitten” (Si Kucing Tampan).
Charming Kitten di kalangan peneliti juga memiliki nama alias seperti APT35, Ajax Security Team, NewsBeef, Newscaster, dan Phosphorus. Mereka diduga terkait dengan dukungan oleh negara Iran dan telah aktif sejak 2011.
Serangan mereka terkenal menargetkan lembaga pemerintah, swasta, lembaga think tank, akademisi, komunitas Baha’i dan lain-lain di Eropa, AS, dan Arab Saudi.
Serangan terbaru mereka adalah email phishing yang menipu atau berpura-pura sebagai wartawan New York Times. Ceritanya begini:
Suatu kali akademisi Jerman kelahiran Iran, Erfan Kasraie, menerima email dari media kenamaan NYT yang meminta wawancara. Namun, Erfan mengira ini ada yang tak beres.
Email pada 12 November 2019 itu dari seseorang yang mengaku bernama Farnaz Fassihi. Farnaz memang seorang jurnalis terkenal dan veteran Iran-Amerika yang meliput di Timur Tengah yang menulis di NYT. Farnas sebelumnya bekerja selama 17 tahun sebagai wartawan di The Wall Street Journal.
Terjemahan:
Hello *** ***** ******
My name is Farnaz Fasihi. I am a journalist at the Wall Street Journal newspaper.
The Middle East team of the WSJ intends to introduce successful non-local individuals in developed countries. Your activities in the fields of research and philosophy of science led me to introduce you as a successful Iranian. The director of the Middle East team asked us to set up an interview with you and share some of your important achievements with our audience. This interview could motivate the youth of our beloved country to discover their talents and move toward success.
Needless to say, this interview is a great honor for me personally, and I urge you to accept my invitation for the interview.
The questions are designed professionally by a group of my colleagues and the resulting interview will be published in the Weekly Interview section of the WSJ. I will send you the questions and requirements of the interview as soon as you accept.
*Footnote: Non-local refers to people who were born in other countries.
Thank you for your kindness and attention.
Farnaz Fasihi
Sumber: Gambar-gambar arsip Certfa Lab.
Namun, email tersebut, tulis Reuters, 5 Februari lalu, lebih mirip surat penggemar karena meminta Erfan untuk berbagi prestasinya untuk memotivasi kaum muda di Iran. “Wawancara ini adalah kehormatan besar bagi saya,” begitu tulis Farnas di email-nya.
Indikator keanehan lain adalah email tersebut menginstruksikan Erfan memasukkan kata sandi Google-nya untuk melihat pertanyaan wawancara.
Selain itu, email phishing (email jebakan) itu berisi URL-URL singkat di catatan kaki (seperti tautan media sosial, situs web WSJ dan Dow Jones), yang memungkinkan peretas membimbing korban ke situs yang sah, tentu saja, sembari mengumpulkan informasi dasar tentang perangkat mereka (alamat IP, sistem operasi, dan browser).
Selanjutnya, penyerang mengirim tautan ke file yang berisi pertanyaan wawancara, yang di-hosting di Google Site, untuk menghindari kecurigaan dan menghindari deteksi spam, seperti dikutip dari Security Week.
Dari halaman Google Site, korban kemudian dibawa ke halaman phishing untuk mengisi informasi kredensial login pada alamat Gmail-nya dengan kode dua faktor otentikasi (2FA).
Dalam serangan ini, aktor ancaman juga menggunakan pdfReader.exe, sebuah pintu belakang (backdoor) yang dirancang untuk mengumpulkan data perangkat korban.
Certfa Lab meyakini bahwa serangan tersebut terkait dengan kelompok Charming Kitten. Cek lebih detail hasil analisis mereka di sini.
Perusahaan keamanan siber asal Israel, ClearSky Cyber Security, juga memberi dokumentasi tentang peniruan serupa dari dua wartawan CNN dan seorang penyiar di Deutsche Welle.
ClearSky mendeteksi bahwa kelompok tersebut menargetkan akademisi atau peneliti Israel yang meneliti tentang Iran. ClearSky menolak untuk memberikan jumlah orang tertentu yang ditargetkan tersebut atau memberikan nama-nama mereka dengan alasan kerahasiaan klien.
Kepada Reuters, Iran membantah mengoperasikan atau mendukung operasi peretasan.[]
Share: