Diduga, Unit Spionase Iran Gunakan Facebook untuk Mengintai Personel Militer AS

JAKARTA - Tim intelijen ancaman Facebook menyatakan bahwa mereka telah mendapatkan gangguan advanced persistent threat (APT) group dari Iran. Kelompok tersebut selama ini menggunakan jejaring sosial sebagai bagian dari upayanya untuk menyebarkan malware dan melakukan operasi spionase siber, terutama di AS.

Advanced Persistent Threat (APT) Group adalah pelaku ancaman tersembunyi, yang biasanya berasal negara atau kelompok yang disponsori negara. Grup ini memperoleh akses tidak sah ke jaringan komputer dan tetap tidak terdeteksi untuk waktu yang lama.

Mike Dvilyanski, kepala penyelidikan spionase siber Facebook dan David Agranovich, direktur gangguan ancaman di Facebook, melaporkan bahwa kelompok yang dijuluki “Tortoiseshell” itu berencana untuk menargetkan personel militer dan perusahaan di industri pertahanan dan kedirgantaraan di AS , Inggris atau pun Eropa.

"Kegiatan ini memiliki ciri-ciri operasi sumber daya yang baik dan gigih sambil mengandalkan langkah-langkah keamanan operasional yang relatif kuat untuk menyembunyikan siapa di balik mereka," kata tim Facebook.

Facebook memblokir domain jahat yang dibuat grup ini agar tidak dibagikan di platformnya. Facebook juga  menghapus akun kelompok ini dan memberi tahu calon korban yang diyakini telah ditargetkan oleh kelompok ini.

Perusahaan media sosial tersebut mengatakan bahwa platformnya digunakan dalam operasi spionase siber lintas platform Tortoiseshell yang lebih luas. Aktivitas grup ini di Facebook fokus pada rekayasa sosial, mencoba untuk memikat pengguna dari jejaring sosial, di mana mereka dapat terpapar malware, dan membagikan malware di Facebook.

FireEye, yang melacak Tortoiseshell sebagai UNC1833, mengatakan bahwa sejak 2018, kelompok tersebut, memfokuskan dirinya pada target di Timur Tengah. Ini terkait dengan grup APT Iran lainnya, APT35.

"Iran masih merupakan aktor siber yang agresif yang tidak boleh diabaikan. Meskipun banyak aktivitas mereka difokuskan di Timur Tengah, mereka kini tidak terbatas beroperasi pada wilayah mereka," kata Sarah Jones, analis utama senior Mandiant Threat Intelligence.

Metode Tortoiseshell

Facebook mengatakan geng Tortoiseshell menciptakan persona online palsu saat menghubungi target, yang terkadang melibatkan diri mereka selama berbulan-bulan.

"Akun-akun ini sering menyamar sebagai perekrut dan karyawan perusahaan pertahanan dan kedirgantaraan dari negara-negara target mereka. Persona lain mengaku bekerja di perhotelan, kedokteran, jurnalisme, LSM, dan maskapai penerbangan," kata Facebook.

Menurut Facebook,  Grup APT ini membuat lusinan domain palsu yang dirancang untuk menarik orang-orang dari berbagai industri dan minat. Ini termasuk lima URL yang berisi nama "Trump." Situs palsu lainnya memalsukan kontraktor pertahanan, situs karier Departemen Tenaga Kerja AS, dan penyedia email.

Tortoiseshell menggunakan domain palsu sebagai umpan untuk memikat targetnya keluar dari Facebook sehingga bisa melakukan spionase, mencuri informasi atau menyebarkan malware.

"Domain ini tampaknya telah digunakan untuk mencuri kredensial login ke akun online korban (misalnya, email perusahaan dan pribadi, alat kolaborasi, media sosial)," kata Facebook. “Mereka juga tampaknya digunakan untuk membuat profil sistem digital target mereka untuk mendapatkan informasi tentang perangkat orang, jaringan yang mereka hubungkan, dan perangkat lunak yang mereka instal untuk akhirnya mengirimkan malware yang dirancang khusus untuk target.”

Facebook yakin grup tersebut menggunakan malware khusus yang menyertakan Trojan akses jarak jauh berfitur lengkap, alat pengintaian perangkat dan jaringan, serta pencatat tombol. Facebook mengindikasikan jika beberapa malware itu digunakan dikembangkan oleh perusahaan IT Teheran Mahak Rayan Afraz, yang memiliki hubungan dengan Korps Pengawal Revolusi Islam.

Pada Rabu, 14 Juli, Proofpoint menggambarkan terdapat serangan phishing Iran lainnya yang dioperasikan oleh TA453, juga dikenal sebagai Charming Kitten. Mereka bertujuan untuk memperoleh informasi tentang kebijakan luar negeri, wawasan tentang gerakan pembangkang Iran, dan pemahaman tentang negosiasi nuklir AS.