Badan keamanan siber Amerika Serikat dan Israel telah menerbitkan peringatan baru yang mengaitkan sebuah kelompok siber Iran dengan upaya meretas Olimpiade Musim Panas 2024 dan mengompromikan penyedia tampilan dinamis komersial asal Prancis untuk menampilkan pesan yang mengecam partisipasi Israel di ajang olahraga tersebut.
Aktivitas ini dikaitkan dengan entitas yang dikenal sebagai Emennet Pasargad, yang dilaporkan beroperasi dengan nama samaran Aria Sepehr Ayandehsazan (ASA) sejak pertengahan 2024. Komunitas keamanan siber melacaknya dengan nama lain seperti Cotton Sandstorm, Haywire Kitten, dan Marnanbridge.
“Kelompok ini menunjukkan taktik baru dalam menjalankan operasi informasi berbasis siber hingga pertengahan 2024 menggunakan berbagai persona penutup, termasuk beberapa operasi siber yang berlangsung selama dan menargetkan Olimpiade Musim Panas 2024 – termasuk mengompromikan penyedia tampilan dinamis komersial asal Prancis,” menurut laporan tersebut.
ASA, menurut Biro Investigasi Federal AS (FBI), Departemen Keuangan, dan Direktorat Siber Nasional Israel, juga mencuri konten dari kamera IP serta menggunakan perangkat lunak kecerdasan buatan (AI) seperti Remini AI Photo Enhancer, Voicemod, dan Murf AI untuk modifikasi suara, dan Appy Pie untuk pembuatan gambar dalam menyebarkan propaganda.
Diperkirakan merupakan bagian dari Korps Garda Revolusi Islam Iran (IRGC), aktor ancaman ini dikenal melakukan operasi siber dan pengaruh di bawah persona Al-Toufan, Anzu Team, Cyber Cheetahs, Cyber Flood, For Humanity, Menelaus, dan Market of Data, di antaranya.
Salah satu taktik terbaru yang terpantau adalah penggunaan reseller hosting fiktif untuk menyediakan infrastruktur server operasional, baik untuk kepentingan mereka sendiri maupun untuk aktor di Lebanon yang digunakan untuk meng-host situs web terkait Hamas (misalnya, alqassam[.]ps).
“Sejak sekitar pertengahan 2023, ASA telah menggunakan beberapa penyedia hosting penutup untuk manajemen dan penyamaran infrastruktur,” demikian menurut badan tersebut. “Dua penyedia ini adalah ‘Server-Speed’ (server-speed[.]com) dan ‘VPS-Agent’ (vps-agent[.]net).”
“ASA membuat reseller mereka sendiri dan membeli ruang server dari penyedia berbasis Eropa, termasuk perusahaan BAcloud yang berbasis di Lithuania dan Stark Industries Solutions/PQ Hosting (berlokasi di Inggris dan Moldova). ASA kemudian menggunakan reseller ini untuk menyediakan server operasional kepada aktor siber mereka untuk kegiatan siber berbahaya.”
Serangan terhadap penyedia tampilan dinamis komersial asal Prancis yang tidak disebutkan namanya terjadi pada Juli 2024 menggunakan infrastruktur VPS-agent. Serangan ini bertujuan menampilkan montase foto yang mengecam partisipasi atlet Israel dalam Olimpiade dan Paralimpiade 2024.
Selain itu, ASA diduga mencoba menghubungi anggota keluarga sandera Israel setelah perang Israel-Hamas pada awal Oktober 2023 dengan persona Contact-HSTG dan mengirim pesan yang kemungkinan bertujuan untuk menimbulkan efek psikologis tambahan dan trauma lebih lanjut.
Kelompok ancaman ini juga dikaitkan dengan persona lain yang dikenal sebagai Cyber Court, yang mempromosikan aktivitas beberapa kelompok hacktivis penutup yang mereka kelola melalui saluran Telegram dan situs web khusus (“cybercourt[.]io”).
Dua domain, vps-agent[.]net dan cybercourt[.]io, telah disita setelah operasi gabungan yang dilakukan oleh Kantor Kejaksaan AS untuk Distrik Selatan New York (SDNY) dan FBI.
Selain itu, setelah pecahnya perang, ASA diduga mencoba mengakses dan memperoleh konten dari kamera IP di Israel, Gaza, dan Iran, serta mengumpulkan informasi tentang pilot tempur dan operator kendaraan udara tak berawak (UAV) Israel melalui situs seperti knowem.com, facecheck.id, socialcatfish.com, ancestry.com, dan familysearch.org.
Perkembangan ini terjadi bersamaan dengan pengumuman Departemen Luar Negeri AS yang menawarkan hadiah hingga $10 juta untuk informasi yang mengarah pada identifikasi atau keberadaan orang yang terkait dengan kelompok peretas IRGC yang disebut Shahid Hemmat karena menargetkan infrastruktur kritis AS.
“Shahid Hemmat telah dikaitkan dengan aktor siber jahat yang menargetkan industri pertahanan AS dan sektor transportasi internasional,” ujar pernyataan tersebut.
“Sebagai bagian dari IRGC-CEC [Komando Siber-Elektronik], Shahid Hemmat terkait dengan individu dan organisasi lain yang terkait dengan IRGC-CEC termasuk Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab, serta perusahaan penutup Emennet Pasargad, Dadeh Afzar Arman (DAA), dan Mehrsam Andisheh Saz Nik (MASN).”
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
Inside Iran’s Cyber Playbook: AI, Fake Hosting, and Psychological Warfare, The Hacker News.
Baca Juga : Kelompok Korea Utara Berkolaborasi dengan Play Ransomware dalam Serangan Siber Besar