Tim Intelijen Ancaman Microsoft telah mengungkapkan perkembangan yang mengkhawatirkan dalam lanskap keamanan siber. Kelompok peretas yang disponsori negara Iran yang dikenal sebagai Peach Sandstorm (juga disebut APT 33) telah terlihat menggunakan malware canggih baru yang dijuluki Tickler untuk menyusup ke organisasi di sektor komunikasi luar angkasa dan satelit.
Bendera Iran yang dibayangkan ulang melalui lensa digital, melambangkan aktivitas siber negara tersebut dan implikasinya terhadap keamanan di sektor ruang angkasa |
Ancaman Baru Muncul
Tickler merepresentasikan evolusi signifikan dalam arsenal Peach Sandstorm. Backdoor multi-tahap yang dibuat khusus ini memungkinkan para peretas untuk membangun akses jarak jauh ke jaringan korban, berpotensi membahayakan informasi dan infrastruktur sensitif. Peneliti Microsoft telah mendeteksi Tickler digunakan terhadap target di industri satelit, peralatan komunikasi, dan minyak dan gas, serta entitas pemerintah di Amerika Serikat dan Uni Emirat Arab.
Taktik Lama dan Baru
Sementara Tickler menunjukkan kemampuan teknis Peach Sandstorm yang berkembang, kelompok ini terus mengandalkan metode yang telah teruji:
- Password Spraying: Para peretas mencoba membobol banyak akun menggunakan kata sandi umum atau yang bocor.
- Rekayasa Sosial: Profil LinkedIn palsu digunakan untuk mengumpulkan intelijen dan berpotensi memanipulasi target.
- Penyalahgunaan Infrastruktur Cloud: Akun pendidikan yang disusupi dimanfaatkan untuk membangun infrastruktur command and control (C2) di Azure.
Implikasi terhadap Keamanan Global
Fokus pada komunikasi satelit dan target terkait luar angkasa sangat mengkhawatirkan. Sherrod DeGrippo, direktur intelijen ancaman Microsoft, mencatat bahwa ini bukan pertama kalinya Peach Sandstorm menargetkan sektor luar angkasa, menunjukkan minat berkelanjutan di area kritis ini.
Mempertahankan Diri dari Ancaman
Microsoft telah mengambil langkah-langkah untuk mengurangi risiko yang ditimbulkan oleh Tickler dan aktivitas Peach Sandstorm lainnya:
- Memberi tahu pelanggan yang terkena dampak
- Menghapus profil LinkedIn yang berbahaya
- Menegakkan autentikasi multi-faktor (MFA) untuk administrator Azure (mulai Juli 2024)
- Menerapkan MFA ke semua akun Azure (direncanakan untuk Oktober 2024)
Seiring aktivitas siber yang disponsori negara Iran terus berkembang, kewaspadaan dan praktik keamanan siber yang kuat tetap penting bagi organisasi di sektor yang menjadi target. Penemuan Tickler menjadi pengingat keras akan sifat persisten dan adaptif ancaman siber saat ini.