|
Ada Sebuah berita baru yang baru-baru ini diterbitkan oleh para peneliti
keamanan cyber yang menyatakan sebuah bukti dari pemerintah Iran yang
disponsori oleh puluhan perusahaan serta organisasi di Israel tentang
kampanaye Mata-mata atau spionase cyber yang dinamakan "Fox Kitten" tengah menyasar dan menyerang perusahaan-perusahaan IT, telekomunikasi,
pemerintahan, penerbangan dan di sektor keamanan.
Adanya Pengintaian atau mata-mata ini sudah tersebar di internet yang
berkamuflase berbasis platform sebagai alat penyebarannya dan nantinya dapat
mengaktifkan pengistalan otomatis malware seperti Dustman dan Zerocleore.
Menyebarnya malware baru ini tidak lain dengan tujuan mencuri data-data
informasi sensitif demi kepentingan mereka. Sang penyebar malware ini
merupakan kelompok hacker iran (Iranian Hacker) yang mampu mengeploitasi
aplikasi VPN yang dapat menembus dan mencuri data atau informasi dari
perusahaan target.
Hacker Serang Aplikasi VPN
Sistem VPN tersebut di ekploitasi dengan teknik
(CVE-2019-11510), (CVE-2018-13379), (CVE-2019-19781). Menurut para
peneliti, si hacker ini dapat mengakses sistem pusat atau inti dari targetnya.
Dan menanam sebuah malware lalu menyebar ke seluruh jaringan dengan cara
mengekploitasi.
Dilansir dari thehackernews Hacker tersebut berhasil mendapatkan kendali dan
kontrol penuh (C2) yang nantinya akan mendownload beberapa file VBscript yang
di pakai untuk menanamkan Backdoor dalam sistem target. Selain itu,
backdoor tersebut akan di download secara potongan atau bagian saja, sehingga
dapat menghindari deteksi oleh software antivirsus yang dipasang pada komputer
yang sudah terinfeksi.
File download yang dinamai combine.bat akan secara otomatis membuat
file executable untuk menjalankan backdorrnya. Untuk menjalankan
tugas-tugasnya, Para hacker ini akan mengeploitasi dengan menggunakan sebuah
tools atau alat mislanya Juicy Potato dan Invoke The Hash untuk mendapatkan
akses untuk bergerak pada jaringan. Berikut beberapa tools yang sudah
dikembangkan oleh hacker tersebut.
Tidak hanya itu saja, Hacker tersebut juga memakai WebShell agar dapat mudah
konek ke Webserver target dan mengunggah file secara langsung ke Server C2.
- Port.exe - adalah sebuah alat untuk menscan port dan server yang sudah di tentujan hacker
- STSRCheck - Dipakai untuk proses mapping atau pemtaan basis data, server dan port yang terbuka di dalams ebuah jaringan yang di targetkan. Lalu masuk secara paksa dengan akun default.
Setelah Hacker berhasil mendapatkan kemampuan masuk kesebuah jaringan, maka
para hacker tersebut akan bergerak pada tahap akhir: yaitu menjalankan sebuah
backdoor untuk menscan sistem dengan tujuan mendapatkan informasi yang
diinginkan dan membuat koneksi jarak jauh (menggunakan software yang
sudah dikembangkan oleh POWSSHNET) atau membuka socket-alamat IP address.
Selain Cara kerja diatas, hacker iran ini terbagi menjadi membagi 3 kolompok
diantaranya - APT33 ("Elfin"), APT34 ("OilRig") dan APT39 (Chafer ). Dan pada
bulan lalu, para hacker tersebut di dukung oleh pemerintah IRAN yang dijuluki
dengan "Magnallium" yang menyerang sistem utilitas Listrik Amerika dan
perusahaan minyak serta Gas.
Mengingat jika para Hacker Iran ini juga sudah mengetahui titik lemah dari
VPN, Memang sangat penting bagi pemilik perusahaan VPN agar secepatnya
memberikan sebuah Patch keamanan terbaru agar tidak di serang lagi.