Peretas Iran Kemungkinan Di Balik Serangan Siber yang Mengganggu Terhadap Pemerintah Albania

  • Bagikan
Iranian Hackers

Beritaini.top Peretas Iran Kemungkinan Di Balik Serangan Siber yang Mengganggu Terhadap Pemerintah Albania

Peretas Iran

Seorang aktor ancaman yang bekerja untuk memajukan tujuan Iran dikatakan berada di balik serangkaian serangan siber yang mengganggu terhadap layanan pemerintah Albania pada pertengahan Juli 2022.

Perusahaan keamanan siber Mandiant dikatakan aktivitas jahat terhadap negara NATO mewakili “ekspansi geografis operasi cyber Iran yang mengganggu.”

Itu Serangan 17 Julimenurut Badan Masyarakat Informasi Nasional Albania, memaksa pemerintah untuk “menutup sementara akses ke layanan publik online dan situs web pemerintah lainnya” karena “serangan kejahatan dunia maya yang tersinkronisasi dan canggih dari luar Albania.”

Operasi pengganggu yang bermotivasi politik, menurut Mandiant, memerlukan penyebaran keluarga ransomware baru yang disebut ROADSWEEP yang menyertakan catatan tebusan dengan teks: “Mengapa pajak kami harus dibelanjakan untuk kepentingan teroris DURRES?”

Keamanan cyber

Sebuah front bernama HomeLand Justice sejak itu mengklaim kredit untuk serangan cyber, dengan kelompok itu juga diduga mengklaim telah menggunakan malware penghapus dalam serangan tersebut. Meskipun sifat pasti dari wiper belum jelas, Mandiant mengatakan seorang pengguna Albania mengirimkan sampel untuk apa yang disebut ZeroCleare pada 19 Juli, bertepatan dengan serangan tersebut.

ZeroClear, pertama didokumentasikan oleh IBM pada Desember 2019 sebagai bagian dari kampanye yang menargetkan sektor industri dan energi di Timur Tengah, dirancang untuk menghapus master boot record (MBR) dan partisi disk pada mesin berbasis Windows. Ini diyakini sebagai upaya kolaboratif antara aktor negara-bangsa Iran yang berbeda, termasuk Alat pengebor minyak (alias APT34, ITG13, atau Helix Kitten).

Juga digunakan dalam serangan Albania adalah pintu belakang yang sebelumnya tidak dikenal yang dijuluki CHIMNEYSWEEP yang mampu mengambil tangkapan layar, mendaftar dan mengumpulkan file, memunculkan shell terbalik, dan mendukung fungsi keylogging.

Peretas Iran

Implan, selain berbagi banyak kode yang tumpang tindih dengan ROADSWEEP, dikirimkan ke sistem melalui arsip yang mengekstrak sendiri bersama dengan dokumen Microsoft Word umpan yang berisi gambar Massoud Rajavimantan pemimpin Organisasi Mujahidin Rakyat Iran (MEK).

Iterasi paling awal dari CHIMNEYSWEEP berasal dari tahun 2012 dan indikasinya adalah bahwa malware tersebut mungkin telah digunakan dalam serangan yang ditujukan untuk penutur bahasa Farsi dan Arab.

Perusahaan keamanan siber, yang diakuisisi oleh Google awal tahun ini, mengatakan tidak memiliki cukup bukti yang menghubungkan penyusupan dengan kelompok musuh yang disebut, tetapi mencatat dengan keyakinan moderat bahwa satu atau lebih aktor jahat yang beroperasi untuk mendukung tujuan Iran terlibat.

Keamanan cyber

Koneksi ke Iran berasal dari fakta bahwa serangan itu terjadi kurang dari seminggu sebelum Konferensi Tingkat Tinggi Dunia Iran Bebas pada 23-24 Juli di dekat kota pelabuhan Durres oleh entitas yang menentang pemerintah Iran, khususnya anggota MEK. .

“Penggunaan ransomware untuk melakukan operasi mengganggu bermotivasi politik terhadap situs web pemerintah dan layanan warga negara anggota NATO pada minggu yang sama dengan konferensi kelompok oposisi Iran yang akan berlangsung akan menjadi operasi yang sangat berani oleh ancaman Iran-nexus. aktor,” kata para peneliti.

Temuan ini juga muncul dua bulan setelah kelompok ancaman persisten lanjutan (APT) Iran yang dilacak sebagai Kucing Pesona (alias Fosfor) ditemukan. terhubung untuk serangan yang ditujukan terhadap perusahaan konstruksi yang tidak disebutkan namanya di AS selatan

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.