Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for Iran

Iran

NCSC mengungkap kampanye spear-phishing Iran dan Rusia yang menargetkan Inggris

by

Kelompok ancaman persisten tingkat lanjut (APT) yang bermusuhan yang sejalan dengan kepentingan nasional Iran dan Rusia menargetkan warga negara Inggris termasuk akademisi, aktivis, pekerja amal dan LSM, pejabat pertahanan dan pemerintah, jurnalis, dan politisi, dengan spear-phishing yang dibuat dengan hati-hati dan sangat ditargetkan email, menurut intelijen baru dari National Cyber ​​Security Center (NCSC) Inggris.

Kampanye yang berbeda namun secara teknis serupa dikaitkan dengan keyakinan relatif terhadap TA453 Iran, yang juga menggunakan nama Charming Kitten, dan Seaborgium Rusia, yang juga menggunakan Cold River dan baru-baru ini dikaitkan dengan serangan terhadap mantan kepala MI6 Richard Dearlove dan seorang kelompok pendukung keras Brexit, dan insiden yang menargetkan ilmuwan nuklir AS.

Pola aktivitas dunia maya yang sedang berlangsung diduga, meskipun tidak dikonfirmasi oleh NCSC, terkait dengan pengumpulan intelijen untuk mendukung tujuan APT yang seharusnya membayar pemerintah di Teheran dan Moskow.

Skalanya relatif kecil dan tidak menimbulkan ancaman langsung bagi mayoritas publik Inggris dalam skema besar, menurut direktur operasi NCSC, Paul Chichester, yang mengatakan itu lebih merupakan kecanggihan serangan, daripada volumenya, itu mengkhawatirkan.

“Inggris berkomitmen untuk mengungkap aktivitas siber berbahaya bersama mitra industri kami, dan saran ini meningkatkan kesadaran akan ancaman terus-menerus yang ditimbulkan oleh serangan spear-phishing,” katanya.

Selengkapnya: Computer Weekly

Entitas Pemerintah Iran Diserang oleh Gelombang Baru Serangan Diplomasi Backdoor

by

Aktor ancaman yang dikenal sebagai BackdoorDiplomacy telah dikaitkan dengan gelombang serangan baru yang menargetkan entitas pemerintah Iran antara Juli dan akhir Desember 2022.

Palo Alto Networks Unit 42 melacak aktivitas di bawah moniker bertema konstelasi Playful Taurus. Pihaknya mengamati domain pemerintah yang mencoba terhubung ke infrastruktur malware yang sebelumnya diidentifikasi terkait dengan musuh.

Pada Desember 2021, Microsoft mengumumkan penyitaan 42 domain yang dioperasikan oleh grup tersebut dalam serangannya yang menargetkan 29 negara.

Pelaku ancaman baru-baru ini dikaitkan dengan serangan terhadap perusahaan telekomunikasi yang tidak disebutkan namanya di Timur Tengah menggunakan Quarian, pendahulu Turian yang memungkinkan titik akses jarak jauh ke jaringan yang ditargetkan.

Backdoor Turian dalam versi barunya menampilkan kebingungan tambahan serta algoritma dekripsi yang diperbarui yang digunakan untuk mengekstrak server C2. Namun, malware itu sendiri bersifat umum karena menawarkan fungsi dasar untuk memperbarui server C2 agar terhubung, menjalankan perintah, dan menelurkan shell terbalik.

BackdoorDiplomacy menargetkan Iran karena alasan ekstensi geopolitik yang datang dengan latar belakang perjanjian bilateral komprehensif 25 tahun yang ditandatangani antara China dan Iran untuk mendorong kerja sama ekonomi, militer, dan keamanan.

Selengkapnya: The Hacker News

Iran Mengatakan Pengenalan Wajah Akan Mengidentifikasi Wanita yang Melanggar Hukum Jilbab

by

BULAN LALU, Seorang wanita muda pergi bekerja di Sarzamineh Shadi, atau Tanah Kebahagiaan, sebuah taman hiburan dalam ruangan di sebelah timur ibu kota Iran, Teheran. Setelah foto dirinya tanpa hijab beredar di media sosial, taman hiburan tersebut ditutup, menurut beberapa akun di media Iran. Jaksa di Teheran dilaporkan telah membuka penyelidikan.

Menutup bisnis untuk memaksakan kepatuhan terhadap undang-undang ketat Iran untuk pakaian wanita adalah taktik yang biasa dilakukan Shaparak Shajarizadeh. Dia berhenti mengenakan jilbab pada 2017 karena dia memandangnya sebagai simbol penindasan pemerintah, dan mengingat pemilik restoran, yang takut pada pihak berwenang, menekannya untuk menutupi kepalanya.

Tapi Shajarizadeh, yang melarikan diri ke Kanada pada tahun 2018 setelah tiga kali ditangkap karena melanggar hukum jilbab, khawatir bahwa wanita seperti pekerja taman hiburan sekarang dapat menjadi sasaran dengan algoritme pengenalan wajah serta pekerjaan polisi konvensional.

Setelah anggota parlemen Iran menyarankan tahun lalu bahwa pengenalan wajah harus digunakan untuk hukum jilbab polisi, kepala badan pemerintah Iran yang menegakkan hukum moralitas mengatakan dalam sebuah wawancara September bahwa teknologi akan digunakan “untuk mengidentifikasi gerakan yang tidak pantas dan tidak biasa,” termasuk ” kegagalan untuk mematuhi hukum hijab.” Individu dapat diidentifikasi dengan memeriksa wajah terhadap basis data identitas nasional untuk memungut denda dan melakukan penangkapan, katanya.

Dua minggu kemudian, seorang wanita Kurdi berusia 22 tahun bernama Jina Mahsa Amini meninggal setelah ditahan oleh polisi moralitas Iran karena tidak mengenakan jilbab dengan cukup ketat. Kematiannya memicu protes bersejarah terhadap aturan berpakaian wanita, mengakibatkan sekitar 19.000 penangkapan dan lebih dari 500 kematian. Shajarizadeh dan lainnya yang memantau protes yang sedang berlangsung telah memperhatikan bahwa beberapa orang yang terlibat dalam protes dihadapkan oleh polisi beberapa hari setelah insiden yang dituduhkan — termasuk wanita yang disebutkan tidak mengenakan jilbab. “Banyak orang belum ditangkap di jalanan,” katanya. “Mereka ditangkap di rumah mereka satu atau dua hari kemudian.”

Beberapa dekade yang lalu, hukum Iran mewajibkan perempuan melepas jilbab sejalan dengan rencana modernisasi, dengan polisi terkadang memaksa perempuan untuk melakukannya. Tapi jilbab menjadi wajib pada tahun 1979 ketika negara menjadi teokrasi.

Presiden Iran Ebrahim Raisi memberlakukan pembatasan jilbab dan kesucian tambahan pada bulan Agustus. Perempuan yang dianggap pelanggar hukum dapat kehilangan akses ke bank, transportasi umum, dan layanan penting pemerintah lainnya.

Pengenalan wajah telah menjadi alat yang diinginkan oleh rezim otoriter di seluruh dunia sebagai cara untuk menekan perbedaan pendapat, kata Grothe, meskipun banyak kekurangan infrastruktur teknis yang diperlukan. “Iran adalah kasus di mana mereka memiliki kemauan pemerintah dan kemampuan fisik,” katanya.

Beberapa pengenalan wajah yang digunakan di Iran saat ini berasal dari kamera China dan perusahaan intelijen buatan Tiandy. Transaksinya di Iran ditampilkan dalam laporan Desember 2021 dari IPVM, sebuah perusahaan yang melacak industri pengawasan dan keamanan.

Meskipun mengerahkan teknologi represif dan pengawasan massal, dalam sebulan terakhir baik China maupun Iran telah menyaksikan beberapa protes terbesar yang pernah dilihat kedua negara dalam beberapa dekade.

Setelah seseorang meninggal, adat Muslim Syiah memanggil chehelom, hari untuk mengingat orang mati 40 hari setelah kematian mereka. Tradisi itu sekarang memicu protes di Iran, mengingat lebih dari 500 orang yang terbunuh sejak kematian Masha Amini memicu gelombang protes baru.

selangkapnya : wired

Akun email perusahaan yang diretas digunakan untuk mengirim alat akses jarak jauh MSP

by

Peretas MuddyWater, kelompok yang terkait dengan Kementerian Intelijen dan Keamanan Iran (MOIS), menggunakan akun email perusahaan yang disusupi untuk mengirimkan pesan phishing ke target mereka.

Grup mengadopsi taktik baru dalam kampanye yang mungkin telah dimulai pada bulan September tetapi tidak diamati hingga Oktober dan menggabungkan penggunaan alat administrasi jarak jauh yang sah.

MuddyWater telah menggunakan alat administrasi jarak jauh yang sah untuk aktivitas peretasannya di masa lalu. Peneliti menemukan kampanye dari grup ini pada tahun 2020 dan 2021 yang mengandalkan RemoteUtilities dan ScreenConnect.

Dalam kampanye lain di bulan Juli, para peretas melanjutkan taktik ini tetapi beralih ke Atera, seperti yang disoroti oleh Simon Kenin, seorang peneliti keamanan di Deep Instinct.

Peneliti Deep Instinct menangkap kampanye MuddyWater baru pada bulan Oktober yang menggunakan Syncro, alat administrasi jarak jauh yang dirancang untuk penyedia layanan terkelola (MSP).

Kenin mencatat dalam sebuah laporan bahwa vektor infeksi awal adalah phishing yang dikirim dari akun email perusahaan yang sah yang disusupi oleh peretas.

Ikhtisar kampanye MuddyWater
sumber: Deep Instinct

Peneliti mengatakan sementara tanda tangan resmi perusahaan hilang dari pesan phishing, korban masih mempercayai email tersebut karena berasal dari alamat resmi milik perusahaan yang mereka kenal.

Di antara target dalam kampanye ini adalah dua perusahaan hosting Mesir, salah satunya dilanggar untuk mengirimkan email phishing. Yang lainnya adalah penerima pesan jahat.

Untuk mengurangi kemungkinan terdeteksi oleh solusi keamanan email, penyerang melampirkan file HTML yang berisi tautan untuk mengunduh penginstal Syncro MSI.

Alat ini dihosting di penyimpanan file Microsoft OneDrive. Pesan sebelumnya yang dikirim dari akun email yang dikompromikan dari perusahaan hosting Mesir menyimpan penginstal Syncro di Dropbox.

Namun, peneliti mengatakan bahwa sebagian besar penginstal Syncro yang digunakan oleh MuddyWater dihosting di penyimpanan cloud OneHub, layanan yang digunakan aktor di masa lalu untuk kampanye peretasannya.

Syncro telah digunakan oleh aktor ancaman lain seperti BatLoader dan LunaMoth. Alat ini memiliki versi uji coba yang berlaku selama 21 hari yang hadir dengan antarmuka web lengkap dan memberikan kontrol penuh atas komputer dengan agen Syncro yang diinstal.

Begitu berada di sistem target, penyerang dapat menggunakannya untuk menyebarkan backdoor guna membangun kegigihan serta mencuri data.

Target lain dalam kampanye MuddyWater ini mencakup beberapa perusahaan asuransi di Israel. Aktor tersebut menggunakan taktik yang sama dan mengirimkan email dari akun email yang diretas milik sebuah entitas di industri perhotelan Israel.

Dengan berpura-pura mencari asuransi, peretas menambahkan lampiran HTML dengan tautan ke penginstal Syncro yang dihosting di OneDrive.

Email phishing MuddyWater menargetkan perusahaan asuransi di Israel
sumber: Deep Instinct

Kenin mengamati bahwa meskipun email ditulis dalam bahasa Ibrani, penutur asli dapat melihat bendera merah karena pilihan kata yang buruk.

Taktik MuddyWater tidak terlalu canggih, namun menunjukkan bahwa alat yang tersedia secara bebas dapat efektif untuk operasi peretasan.

MuddyWater dilacak dengan nama berbeda (Static Kitten, Cobalt Ulster, Mercury) dan telah aktif setidaknya sejak 2017.

Ini biasanya terlibat dalam operasi spionase yang menargetkan organisasi publik dan swasta (perusahaan telekomunikasi, pemerintah daerah, pertahanan, perusahaan minyak dan gas) di Timur Tengah, Asia, Eropa, Amerika Utara, dan Afrika.

Sumber: Bleeping Computer

Serangan Siber terhadap Pemerintah Albania Menunjukkan Agresi Baru Iran

by

Pada pertengahan Juli, serangan siber terhadap pemerintah Albania melumpuhkan situs web negara dan layanan publik selama berjam-jam. Dengan perang Rusia yang berkecamuk di Ukraina, Kremlin mungkin tampak seperti tersangka yang paling mungkin. Tetapi penelitian yang diterbitkan pada hari Kamis oleh perusahaan intelijen ancaman Mandiant mengaitkan serangan itu dengan Iran. Dan sementara operasi spionase Teheran dan campur tangan digital telah muncul di seluruh dunia, peneliti Mandiant mengatakan bahwa serangan yang mengganggu dari Iran terhadap anggota NATO adalah eskalasi yang patut diperhatikan.

Serangan digital yang menargetkan Albania pada 17 Juli terjadi menjelang “World Summit of Free Iran,” sebuah konferensi yang dijadwalkan diadakan di kota Manëz di Albania barat pada 23 dan 24 Juli. KTT itu berafiliasi dengan kelompok oposisi Iran Mujahadeen- e-Khalq, atau Organisasi Mujahidin Rakyat Iran (sering disingkat MEK, PMOI, atau MKO). Konferensi itu ditunda sehari sebelum dimulai karena ancaman “teroris” yang dilaporkan dan tidak ditentukan.

Peneliti Mandiant mengatakan bahwa penyerang menyebarkan ransomware dari keluarga Roadsweep dan mungkin juga menggunakan pintu belakang yang sebelumnya tidak dikenal, dijuluki Chimneysweep, serta strain baru dari wiper Zeroclear. Penggunaan malware serupa di masa lalu, waktu serangan, petunjuk lain dari catatan ransomware Roadsweep, dan aktivitas dari aktor yang mengaku bertanggung jawab atas serangan terhadap Telegram semuanya mengarah ke Iran, kata Mandiant.

“Ini adalah langkah eskalasi agresif yang harus kita akui,” kata John Hultquist, wakil presiden intelijen Mandiant. “Spionase Iran terjadi sepanjang waktu di seluruh dunia. Perbedaannya di sini adalah ini bukan spionase. Ini adalah serangan yang mengganggu, yang mempengaruhi kehidupan sehari-hari orang Albania yang hidup dalam aliansi NATO. Dan itu pada dasarnya adalah serangan koersif untuk memaksa tangan pemerintah.”

Iran telah melakukan kampanye peretasan yang agresif di Timur Tengah dan khususnya di Israel, dan peretasnya yang didukung negara telah menembus dan menyelidiki organisasi manufaktur, pasokan, dan infrastruktur penting. Pada November 2021, pemerintah AS dan Australia memperingatkan bahwa peretas Iran secara aktif bekerja untuk mendapatkan akses ke berbagai jaringan yang terkait dengan transportasi, perawatan kesehatan, dan entitas kesehatan masyarakat, antara lain. “Aktor APT yang disponsori pemerintah Iran ini dapat memanfaatkan akses ini untuk operasi lanjutan, seperti eksfiltrasi atau enkripsi data, ransomware, dan pemerasan,” tulis Badan Keamanan Siber dan Keamanan Infrastruktur Departemen Keamanan Dalam Negeri saat itu.

Teheran telah membatasi seberapa jauh serangannya, sebagian besar menjaga eksfiltrasi dan pengintaian data di panggung global. Namun, negara ini telah berpartisipasi dalam operasi pengaruh, kampanye disinformasi, dan upaya untuk ikut campur dalam pemilihan asing, termasuk menargetkan AS.

“Kami sudah terbiasa melihat Iran menjadi agresif di Timur Tengah di mana aktivitas itu tidak pernah berhenti, tetapi di luar Timur Tengah mereka jauh lebih terkendali,” kata Hultquist. “Saya khawatir mereka mungkin lebih bersedia untuk meningkatkan kemampuan mereka di luar kawasan. Dan mereka jelas tidak ragu untuk menargetkan negara-negara NATO, yang menunjukkan kepada saya bahwa penghalang apa pun yang kami yakini ada di antara kami dan mereka mungkin tidak ada sama sekali.”

Dengan Iran mengklaim bahwa ia sekarang memiliki kemampuan untuk memproduksi hulu ledak nuklir, dan perwakilan dari negara itu bertemu dengan para pejabat AS di Wina tentang kemungkinan kebangkitan kembali kesepakatan nuklir 2015 antara negara-negara, sinyal apa pun tentang kemungkinan niat Iran dan toleransi risiko ketika hal itu terjadi. untuk berurusan dengan NATO adalah signifikan.

Sumber: Ars Technica

Kebocoran Besar Mengungkap Iran Menargetkan Militer AS Dengan Meretas Akun Google Mereka

by

Kebocoran data yang diduga dari kru peretas Iran telah mengungkapkan bagaimana mereka mengintai kehidupan online para pejabat Amerika dengan mengambil kendali atas akun Google mereka, menurut para peneliti IBM. Peretas yang sama dilaporkan telah dikaitkan dengan serangan terhadap staf kampanye Presiden Trump, menurut laporan IBM yang dibagikan kepada Forbes.

Kebocoran 40 gigabyte ditemukan pada bulan Mei oleh IBM X-Force IRIS. Kesalahan konfigurasi sederhana pada server telah membuat data terbuka lebar bagi siapa saja yang dapat menemukan alamat web yang relevan.

Informasi yang paling terbuka datang dalam bentuk video pelatihan, salah satunya menunjukkan bagaimana para peretas, yang dijuluki ITG18 (juga disebut Charming Kitten), telah melanggar akun Google dari seorang pejabat Angkatan Laut AS.

Ada juga bukti kegagalan upaya phishing yang menargetkan akun pribadi seorang dermawan Iran-Amerika dan pejabat Departemen Luar Negeri AS, termasuk yang terkait dengan Kedutaan Virtual AS untuk Iran.

Dan kebocoran itu membongkar sejumlah persona online palsu yang digunakan para peretas untuk menargetkan orang-orang yang tertarik, dengan satu korban lainnya menjadi anggota Angkatan Laut Yunani Hellenic.

Allison Wikoff, analis senior ancaman cyber di IBM, mengatakan bahwa para pejabat militer telah diberitahu mengenai peretasan ini. Ketika Wikoff mengungkap kebocoran pada bulan Mei dengan sesama peneliti IBM Richard Emerson, ia heran bahwa video pelatihan dari kru peretas Iran telah bocor dan pada kecepatan di mana para peretas dapat menyedot data dari akun Google. Dia juga menemukan bukti bahwa ada akun Yahoo yang juga ditargetkan.

Tim keamanan Google mengungkapkan pada bulan Juni bahwa Charming Kitten telah mencoba masuk ke akun Gmail staf kampanye Trump. Microsoft sebelumnya memperingatkan juga bahwa peretas yang sama telah menargetkan staf presiden.

Baru-baru ini, ada kecurigaan bahwa ledakan di pabrik nuklir Natanz Iran awal bulan ini disebabkan oleh serangan cyber A.S. Sebuah laporan Yahoo News minggu ini menunjukkan CIA telah diberi lebih banyak kekuatan oleh Presiden Trump untuk menargetkan musuh seperti Iran dengan serangan destruktif.

Baca berita selengkapnya pada tautan di bawah ini;
Source: Forbes

Ribuan Situs Israel Diretas Oleh Peretas Iran

by

Perang cyber antara Israel dan Iran memanas. Puluhan ribu situs web yang sebagian besar adalah situs web Israel yang tidak aman dilaporkan diserang oleh peretas yang berbasis di Iran pada Kamis pagi, menonaktifkan situs-situs tersebut dan menggantikannya dengan sebuah pesan ancaman.

Lebih dari 2.000 situs web diyakini telah dikompromikan. Di semua situs web yang terkompromi, peretas memuat video YouTube bersama dengan pesan “Hitungan mundur kehancuran Israel telah dimulai sejak lama”. Sebagian besar situs web tersebut dihosting di uPress, layanan hosting WordPress lokal Israel.

Dalam sebuah pesan yang diposting di Facebook, perusahaan itu mengatakan para peretas mengeksploitasi kerentanan dalam plugin WordPress untuk menanam pesan defacement pada situs-situs Israel yang dihosting di platformnya.

Situs yang dikompromikan juga memuat skrip yang meminta akses ke webcam pengguna.

Lebih lengkapnya, baca berita di bawah ini:
Source: ZDNet

Serangan Cyber Menghancurkan 25% Akses Internet Di Iran

by

Beberapa waktu belakangan ini, dunia telah dikejutkan dengan serangan cyber yang sangat masif, bahkan terkonfirmasi membahayakan server yang dimiliki oleh PBB, dan pada minggu yang sama Bank Sentral Eropa memperingatkan Dunia akan implikasi serangan cyber pada keuangan global. Iran merupakan salah satu negara yang memiliki dampak paling parah dari serangan ini.

 

Dilansir dari laporan The NetBlock Internet Observatory (lembaga observasi real-time kebebasan internet), bahwa telah terjadi penurunan 75% konektivitas internet nasional di Iran pada pagi hari tanggal 8 Februari 2020, gangguan terjadi selama 7 jam sebelum konektivitas internet kembali normal. Hal ini disebabkan oleh otoritas Iran yang mengaktifkan mekanisme pertahanan cyber “Digital Fortress” atau yang dikenal dengan DZHAFA.

 

Seorang juru bicara untuk Perusahaan Infrastruktur Telekomunikasi Iran, yang juga berafiliasi dengan Kementerian TIK Iran, Sadjad Bonabi, di media sosial twitter nya menyampaikan bahwa serangan DDoS (distributed denial of service attack) telah dikendalikan dengan teknologi pertahanan DZHAFA Shield.

 

Penggunaan DDoS sebagai senjata cyber oleh negara untuk menyerang negara lain bukanlah hal yang baru. Awal Desember 2019, China dilaporkan meluncurkan “Great Cannon of China” di sebuah forum online yang digunakan untuk mengkoordinasi protes pro-demokrasi Hong Kong.

 

Namun, dalam konteks serangan yang terjadi di Iran tidak ada sponsor atau dalang negara tertentu yang melakukan serangan, identifikasi yang dilakukan menyebutkan bahwa sumber serangang sangat terdesentralisasi.

 

Serangan ini sebenarnya, hanyalah salah satu dari berbagai rangkaian serangan cyber terhadap infrastruktur teknologi Iran. Pada bulan Desember 2019, Kate O’Flaherty melaporkan bahwa DZHAFA juga pernah diaktifkan untuk bertahan melawan serangan pada server pemerintah dan infrastruktur elektronik Iran.

 

Awal tahun lalu, seperti yang dilaporkan oleh Zak Doffman, AS telah meluncurkan serangan cyber ofensif terhadap Iran untuk menonaktifkan sistem komputer yang digunakan untuk mengendalikan peluncuran roket dan rudal. Dihari yang sama, menurut laporan radio Farda, peluncuran satelit pengamatan Zafar Iran telah ditunda.

 

Sampai saat ini, tidak diketahui alasan penundaan tersebut. 

 

Source: Forbes