REPUBLIKA.CO.ID, WASHINGTON -- Peretas yang memiliki koneksi dengan pemerintah Iran mengincar 'berbagai korban' di dalam Amerika Serikat (AS) salah satunya dengan menyebarkan ransomware. Hal ini disampaikan badan penasihat pemerintah AS, Inggris dan Australia.
Pada Kamis (18/11) badan penasihat itu mengatakan beberapa bulan terakhir Iran mengeksploitasi kerentanan komputer yang diekspos peretas sebelum diperbaiki dan mengincar entitas-entitas penting di sektor transportasi, pengobatan dan kesehatan publik. Peretas memanfaatkan serangan awal untuk operasi selanjutnya seperti eksfiltrasi data, ransomware, dan pemerasan.
Badan itu mengatakan, di Australia para peretas menggunakan kerentanan pada Microsoft Exchange. Peringatan ini penting karena walau serangan ransomware sudah lazim di AS, tapi dalam satu terakhir serangan paling banyak dikaitkan dengan kelompok kriminal yang bermarkas di Rusia bukan peretas Iran.
Pemerintah bukan satu-satu yang menyadari aktivitas peretas Iran. Pada Selasa (16/11) lalu perusahaan teknologi raksasa, Microsoft juga mengumumkan sejak tahun lalu mereka sudah memantau enam kelompok berbeda di Iran menyebar ransomware.
Microsoft mengatakan, salah satu kelompok menghabiskan banyak waktu dan energi untuk membangun hubungan dengan korban sebelum menyerang mereka dengan spear-phishing. Kelompok itu menggunakan undangan wawancara dan pertemuan dan kerap menyamar sebagai petinggi think-tank di Washington.
Anggota Microsoft Threat Intelligence Center, James Elliot mengatakan setelah peretas Iran berhasil membangun hubungan dengan korbannya. Mereka akan mengirimkan tautan dan memaksa korban mengklik tautan tersebut. "Orang-orang ini yang paling menyulitkan akhir-akhir ini, setiap dua jam mereka mengirim email," kata Elliot di konferensi keamanan siber, Cyberwarcon, Selasa lalu.
Awal tahun ini Facebook mengumumkan peretas Iran menggunakan 'kepribadiaan daring palsu yang mempesona' untuk membangun kepercayaan para korban hingga korban mengklik tautan peretas kirimkan. Mereka biasanya menyamar sebagai perekrut kerja dari perusahaan pertahanan dan antariksa.
Sementara itu perusahaan keamanan siber Crowdstrike mengatakan mereka dan perusahaan lain telah melihat jenis aktivitas Iran ini sejak tahun lalu. Serangan ransomware Iran tidak seperti yang dilakukan pemerintah Korea Utara (Korut).
Sebab tidak dirancang untuk menghasilkan pendapatan sebanyak mungkin. Para peneliti Crowdstrike mengatakan serangan untuk memata-matai, membocorkan informasi, melecehkan dan mempermalukan musuh seperti Israel dan pada dasarnya untuk melemahkan target mereka.
"Walaupun operasi-operasi ini akan menggunakan catatan tebusan dan membocorkan meminta cryptocurrency, kami tidak melihat upaya sungguh-sungguh untuk menghasilkan mata uang yang sebenarnya," kata direktur analisa ancaman global Crowdstrike Katie Blankenship.
Crowdstrike menilai Iran menjadi pencetus trend serangan siber 'level rendah' semacam ini yang biasanya melumpuhkan jaringan dengan ransomware, mencuri informasi dan membocorkannya di internet. Peneliti menyebutnya sebagai metode 'lock and leak'.
Blankenship mengatakan serangan ini tidak terlalu terlihat dan murah. "(Dan) memberi ruang untuk penyangkalan," tambahnya.