Cyberthreat.id - Clearsky, perusahaan keamanan siber asal Israel, menemukan sebuah kelompok spionase siber Iran yang beroperasi menargetkan sektor pemerintah, teknologi pertahanan, militer, dan diplomasi. Operasi kelompok ini meniru pekerjaan jurnalis, mendekati target melalui platform media sosial seperti LinkedIn dan WhatsApp lalu menginfeksi perangkat korban dengan malware.

Peneliti Israel menyebut kelompok tersebut sebagai "Charming Kitten" yang menggunakan taktik, teknik, dan prosedur (TTP) baru dengan menyamar sebagai jurnalis 'Deutsche Welle' dan 'Jewish Journal'. Bulan Juli lalu, kelompok ini menggunakan email bersama pesan WhatsApp sebagai  platform utama untuk mendekati target dan meyakinkan korbannya untuk membuka tautan berbahaya.

Menurut peneliti Clearsky, ini pertama kalinya penjahat cyber melakukan serangan Watering Hole melalui WhatsApp dan LinkedIn. Kemudian melakukan panggilan telepon kepada korban.

Serangan watering hole adalah eksploitasi keamanan, di mana penyerang berupaya menyusupi grup pengguna akhir (end user) tertentu dengan menginfeksi situs web yang dikunjungi oleh anggota grup. Tujuannya untuk menginfeksi komputer pengguna yang ditargetkan sehingga mendapatkan akses ke jaringan di tempat kerja target.

Clearsky dalam laporannya menyatakan telah memberi tahu Deutsche Welle terkait rencana Charming Kitten. Namun, perusahaan media asal Jerman itu mengkonfirmasi, "reporter yang ditiru oleh Charming Kitten tidak mengirim email apa pun kepada korban atau peneliti akademis lainnya di Israel dalam beberapa pekan terakhir".

Social Engineering

Charming Kitten - dikenal dengan alias APT35, Parastoo, NewsBeef, dan Newscaster - sebelumnya telah dikaitkan dengan serangkaian operasi rahasia sejak Desember 2017 dengan tujuan untuk mencuri informasi sensitif dari aktivis hak asasi manusia, peneliti akademis, dan perusahaan media.

Watering Hole - dalam hal ini, tautan berbahaya disematkan di domain Deutsche Welle yang disusupi - mengirimkan malware pencuri info melalui WhatsApp. Tetapi Watering Hole dilakukan setelah mendekati korban (jurnalis) melalui metode rekayasa sosial (social engineering) yang telah dicoba dan diuji.

"Dimulai dengan email yang dikirim ke target, memulai percakapan," tulis Clearsky dilansir The Hacker News, Jumat (28 Agustus 2020).

"Setelah percakapan singkat dengan target, penyerang Charming Kitten meminta untuk memindahkan percakapan ke WhatsApp. Jika target menolak untuk pindah ke WhatsApp, penyerang akan mengirim pesan melalui profil LinkedIn palsu."

Bahkan dalam sebuah skenario, Charming Kitten mengirim pesan lalu memanggil korban untuk kemudian memandunya terhubung ke sebuah webinar menggunakan tautan jahat yang sebelumnya dibagikan dalam obrolan.

Meskipun TTP yang dijalankan APT35 diketahui sebagai muslihat baru, tetapi Cahrming Kitten bukan pelaku ancaman pertama asal Iran yang menggunakan saluran media sosial untuk memata-matai personil tertentu dengan berbagai kepentingan.

Dalam "Operation Newscaster" yang berjalan selama tiga tahun yang ditemukan oleh iSIGHT Partners (sekarang dimiliki oleh FireEye) tahun 2014, ditemukan modus bahwa penjahat cyber telah membuat akun Facebook palsu dan website berita palsu untuk memata-matai para pemimpin militer dan politik di AS, Israel, dan negara lainnya.

"Dalam operasi ini, kami mengamati kemampuan penyerang yang berbicara melalui telepon langsung dengan korban, menggunakan panggilan WhatsApp, dan nomor telepon Jerman yang sah. TTP ini tidak umum dan membahayakan karena penyerang menggunakan identitas palsu," kata peneliti Clearsky. []