Kelompok operasi dunia maya Iran, Emennet Pasargad – juga dikenal sebagai Cotton Sandstorm – telah memperluas serangannya, memperluas targetnya di luar Israel dan Amerika Serikat dan menargetkan aset TI baru, seperti kamera IP.
Dalam sebuah nasihat yang diterbitkan minggu lalu, Departemen Kehakiman dan Keuangan AS – bersama dengan Direktorat Siber Nasional Israel (INCD) – menyerukan perubahan taktik dan mencatat bahwa kelompok tersebut telah menyediakan sumber daya dan layanan infrastruktur kepada kelompok ancaman di Timur Tengah dengan beroperasi. sebagai perusahaan yang sah, Aria Sepehr Ayandehsazan (ASA). Selain itu, sejak awal tahun, Emennet Pasargad telah memindai kamera IP, menargetkan organisasi di Perancis dan Swedia, dan secara aktif menyelidiki berbagai situs dan sistem pemilu, menurut nasihat pemerintah.
“Mirip dengan kampanye Emennet yang menargetkan pemilihan Presiden AS tahun 2020, FBI menilai kampanye kelompok tersebut baru-baru ini mencakup gabungan aktivitas intrusi komputer dan klaim akses yang berlebihan atau fiktif ke jaringan korban atau data yang dicuri untuk meningkatkan efek psikologis dari operasi mereka. ” kata penasehat itu.
Laporan intelijen terbaru menyoroti peningkatan penggunaan operasi dunia maya di Iran sebagai cara untuk menargetkan musuh-musuhnya. Pada tahun 2020 dan 2022, Emennet Pasargad membuat kampanye disinformasi yang menargetkan presiden dan presiden AS. pemilu paruh waktumenyamar sebagai sukarelawan Proud Boys dan mengirimkan video palsu ke anggota parlemen Partai Republik. Departemen Kehakiman AS mendakwa dua warga negara Iran atas kejahatan tersebutserta mengirimkan ancaman melalui email dan mencoba meretas situs web pemilu.
Selama setahun terakhir, Iran telah meningkatkan upayanya menggunakan serangan siber untuk mengganggu musuh-musuhnya dengan menggunakan taktik yang lebih berani, kata John Fokker, kepala intelijen ancaman untuk Trellix, sebuah perusahaan pendeteksi dan respons ancaman.
“Sejak Oktober 2023, awal krisis Israel-Palestina, peretas Iran telah mengintensifkan aktivitas mereka melawan Amerika Serikat dan Israel, menargetkan sektor-sektor penting seperti pemerintahan, energi, dan keuangan,” katanya. “Kami telah mengamati aktor-aktor yang terkait dengan Iran mengganggu organisasi dengan mencuri data sensitif, melakukan serangan penolakan layanan, dan juga menyebarkan malware yang merusak seperti ransomware atau jenis wiper, seperti penghapus Handala.”
Penyerang Siber Iran Memperluas Penglihatannya
Emennet Pasargad sering beroperasi dengan menyamar sebagai perusahaan layanan TI yang sah, ASA, sebagai kedok untuk mengakses layanan model bahasa besar (LLM) dan untuk memindai dan mengumpulkan data pada kamera IP. Kelompok ini telah “menggunakan beberapa penyedia hosting terselubung untuk manajemen infrastruktur dan pengaburan,” tambah Penasihat Keamanan Siber Gabungan.
Penggunaan organisasi penyamaran untuk menyembunyikan operasi dan membuatnya tampak sah adalah pendekatan umum bagi pelaku ancaman Iran, kata Tomer Bar, wakil presiden penelitian keamanan di SafeBreach, penyedia platform simulasi pelanggaran dan serangan yang berkantor di Tel Aviv. Misalnya, Charming Kitten, atau APT35, melakukan pengintaian dan serangan dengan menyamar sebagai dua perusahaan, Najee Technology dan Afkar System, yang merupakan disetujui oleh Departemen Keuangan AS pada tahun 2022.
“Penggunaan perusahaan penyamaran bukanlah hal baru, dan telah digunakan oleh Iran untuk tujuan spionase dan gangguan,” kata Bar.
Hal ini juga memberi kelompok kemampuan untuk menggunakan layanan komersial sebagai bagian dari infrastruktur mereka dan menyembunyikan aktivitas mereka – untuk sementara waktu, kata Fokker dari Trellix.
“Para pelaku ancaman harus memperoleh sumber daya, perangkat lunak, dan hosting untuk aktivitas terlarang mereka,” katanya. “Memiliki perusahaan terdepan yang ‘sah’ akan mempermudah perolehan layanan ini dan dapat berfungsi sebagai penghalang tambahan untuk memberikan penyangkalan yang masuk akal.”
Pemerintah dan Dunia Usaha Harus Memperhatikan
Perubahan taktik ini menggarisbawahi bahwa organisasi perlu terus menyesuaikan pertahanan mereka untuk menghadang kelompok ancaman. Perusahaan dan lembaga pemerintah sebaiknya hanya membeli teknologi dan perangkat lunak dari vendor tepercaya, dan harus memastikan bahwa vendor tersebut memiliki validasi rantai pasokan dan proses remediasi kerentanan mereka sendiri.
Penasihat Keamanan Siber Gabungan menyerukan organisasi untuk meninjau setiap otentikasi yang berhasil ke layanan jaringan atau cloud yang berasal dari layanan jaringan pribadi virtual, seperti Akses Internet Pribadi, ExpressVPN, dan NordVPN. Selain menerapkan pembaruan secara rutin dan membuat proses pencadangan yang tangguh, perusahaan harus mempertimbangkan penerapan “zona demiliterisasi” (DMZ) antara aset apa pun yang terhubung ke internet dan jaringan perusahaan, memvalidasi masukan pengguna, dan menerapkan kebijakan dengan hak paling rendah di seluruh jaringan mereka dan aplikasi.
SafeBreach telah menemukan penyerang yang secara teratur memindai LinkedIn untuk mencari pekerja yang memperbarui profil mereka dengan posisi baru, mengirimkan teks atau email spear-phishing sebagai administrator perusahaan yang meminta mereka masuk ke sistem perusahaan. Penyerang kemudian menangkap kredensial korban melalui tautan berbahaya.
Fokker dari Trellix juga menekankan bahwa perusahaan harus fokus pada perangkat mereka yang terhubung, menerapkan patch untuk kamera dan perangkat keras lainnya, menggunakan segmentasi jaringan untuk melindunginya, dan secara teratur memindai ruang IP mereka sendiri, sebelum penyerang melakukannya.
“Semakin banyak pemerintah yang menjajaki pemindaian proaktif terhadap ruang kekayaan intelektual dan pemberitahuan organisasi domestik sebagai lapisan tambahan di atas persyaratan produsen yang lebih kuat,” katanya. “Pertama dan terpenting, hal ini harus menjadi tanggung jawab organisasi itu sendiri. Namun, akan membantu jika pemerintah membantu proses ini dan memperingatkan organisasi yang tidak mengetahui tentang kamera mereka yang rentan.”
