UNC1860: Kelompok peretas Iran gunakan alat khusus untuk serang jaringan pemerintah

Mandiant baru-baru ini mengungkap aktivitas kelompok peretas canggih yang disponsori negara Iran, UNC1860. Kelompok ini diyakini berafiliasi dengan Kementerian Intelijen dan Keamanan Iran (MOIS) dan telah aktif menyusup ke jaringan prioritas tinggi di kawasan Timur Tengah, termasuk sektor pemerintahan dan telekomunikasi.

Dilansir dari Cybersecurity News (20/9), UNC1860 dikenal karena penggunaan alat khusus dan backdoor pasif yang memungkinkan mereka mempertahankan akses jangka panjang ke jaringan yang telah mereka kompromikan. Alat-alat ini memiliki kemampuan canggih, termasuk rekayasa balik komponen Windows yang memungkinkan eksploitasi kerentanan tanpa terdeteksi oleh sistem keamanan.

Salah satu senjata di gudang alat mereka adalah driver yang diambil dari perangkat lunak antivirus buatan Iran, mencerminkan keahlian teknis kelompok ini dalam memanipulasi *kernel* Windows.

Dalam temuan Mandiant, dua perangkat lunak utama yang dioperasikan oleh antarmuka grafis pengguna, TEMPLEPLAY dan VIROGREEN, memungkinkan pengendali jarak jauh mengakses dan mengendalikan sistem yang terinfeksi dengan mudah, memfasilitasi pergerakan lateral dalam jaringan yang telah dikompromikan.

Laporan tersebut juga mencatat bahwa UNC1860 bertindak sebagai penyedia akses awal untuk operasi destruktif yang dilakukan oleh unit siber Iran lainnya. Meskipun keterlibatan langsung dalam serangan besar seperti serangan wiper pada Israel pada Oktober 2023 atau serangan ROADSWEEP pada 2022 di Albania belum bisa diverifikasi secara independen, alat-alat mereka tampaknya dirancang untuk mendukung operasi semacam itu.

UNC1860 juga terhubung dengan kelompok mata-mata siber Iran lainnya, APT34. Kedua kelompok ini diketahui menargetkan entitas di Irak, Arab Saudi, dan Qatar, dengan UNC1860 menggunakan sistem yang dikompromikan untuk memindai dan mengeksploitasi jaringan lain.

Penggunaan alat pasif oleh UNC1860 membantu mereka mendapatkan akses awal dan bergerak secara diam-diam dalam jaringan yang terkompromi tanpa terdeteksi oleh perangkat lunak antivirus. Dengan kemampuan tersebut, mereka menjadi ancaman serius yang berpotensi terlibat dalam berbagai aktivitas, mulai dari mata-mata hingga serangan jaringan.

Ketegangan geopolitik yang terus berlangsung di Timur Tengah menyoroti pentingnya ketahanan siber dalam melindungi integritas dan kelangsungan operasi organisasi. Aktivitas UNC1860 menggarisbawahi ancaman yang semakin canggih dari operasi siber Iran dan kebutuhan akan langkah-langkah keamanan siber yang kuat untuk melindungi dari ancaman semacam itu.