Cyberthreat.id - Chafer, kelompok Advanced Persistent Threat (APT) yang terkait dengan Iran, dikabarkan telah meluncurkan operasi spionase cyber terhadap infrastruktur kritis di Timur Tengah. Operasi bertujuan untuk pengumpulan data dan informasi intelijen. Chafer dikenal juga sebagai subkelompok APT34 (OilRig).

Modus operandi Chafer terungkap baru-baru ini. Operasi spionase cyber yang dilakukan kelompok ini telah berlangsung sejak 2018 hingga akhir 2019. Selama periode itu, nama mereka dikenal juga sebagai Chafer APT.

Pada bulan Mei 2020, ditemukan fakta bahwa Chafer APT telah menargetkan pemerintah dan perusahaan transportasi udara yang tidak disebutkan namanya di Kuwait dan Arab Saudi. Operasi ini menggunakan sejumlah alat (tools) yang dibuat khusus dengan taktik "menghidupkan tanah" (living off the land).

Hacker pada awalnya menginfeksi korban di Kuwait menggunakan dokumen tercemar (tainted) dengan kode sandi (shellcode) yang dikirimkan melalui email spear-phishing sekaligus berhasil membuat akun pengguna baru di mesin korban.

Hacker kemudian memasang Backdoor lalu mengerahkan beberapa alat pemindaian jaringan dan pengumpulan kredensial (seperti alat CrackMapExec dan PLINK) dan bergerak secara lateral di seluruh jaringan.  Mereka mengandalkan layanan Non-Sucking Service Manager (NSSM) untuk memantau layanan.

Beberapa operasi Chafer

Chafer tetap aktif dalam operasi yang berbeda-beda sambil mengembangkan alat khusus untuk digunakan dalam operasinya. Dari analisis kegiatan kelompok lain, Chafer juga menjalin hubungan dengan kelompok lainnya untuk mengembangkan taktik baru.

Pada Januari 2020, Palo Alto Networks mengamati beberapa kode HTML disuntikkan di situs web organisasi di Kuwait. Serangan ini ditujukan untuk memanen kredensial. Alamat IP yang digunakan dalam aktivitas pembajakan DNS ditemukan terkait dengan OilRig dan Chafer.

Pada bulan Juni 2019, analisis IBM X-Force (IRIS) mengorelasikan atau menyelaraskan erat operasi hacker ITG07 dengan kelompok lain seperti Chafer dan APT39. Kedua kelompok hacker ini menggunakan Trojan Remote Access (RAT) custom bernama TREKX.

Pada bulan Maret 2019, laporan NCCGroup menghubungkan Chafer dengan beberapa tools yang dibuat khusus, varian dari malware Remexi, dan alat yang tersedia untuk umum seperti 'Mimikatz' atau 'PsExec'.

Bitdefender yang menganalisis kampanye APT Chafer menyatakan kelompok hacker ini secara historis mengikuti semacam pola yang telah ditetapkan untuk menargetkan korban.

Chafer APT terutama menargetkan transportasi udara dan sektor pemerintah di Timur Tengah. Saat menyerang Kuwait, geng APT ini menciptakan akun pengguna baru untuk menargetkan korban di Arab Saudi dengan mengandalkan taktik rekayasa sosial (social engineering).

Sejumlah pakar di Timur Tengah menyarankan pengguna harus menggunakan VPN aman untuk mengenkripsi data sensitif dan melindunginya dari pencurian informasi maupun mata-mata. Sudah ada imbauan untuk menginstal dan memperbarui perangkat lunak anti-virus secara rutin, firewall, dan filter email. Kemudian, pengguna juga diminta untuk mencadangkan data secara teratur.