Grup Keamanan Siber: Operasi yang Menargetkan Situs Pemerintah Iran Dilakukan Secara Internal di Iran

Sebuah kelompok keamanan siber terkemuka telah menyelidiki operasi terhadap situs web pemerintah di Iran dan menyimpulkan bahwa karena struktur Internet Iran dan pemisahannya dari Internet global, operasi terhadap situs web pemerintah, termasuk milik Radio dan Televisi negara pada tanggal 27 Januari 2022, Kementerian Luar Negeri pada 7 Mei 2023 dan kantor presiden pada 29 Mei 2023 dilakukan secara infiltrasi dan tidak mungkin merupakan hasil penetrasi dari luar Iran.

Dalam beberapa tahun terakhir, kelompok keamanan siber Treadstone71 telah menerbitkan beberapa laporan mengenai pemerintah Iran dan serangan sibernya dan telah berkembang sebagai otoritas di bidang ini.

Laporan Treadstone71 menggarisbawahi bahwa serangan besar terhadap situs pemerintah Iran kemungkinan besar dilakukan melalui penetrasi dari dalam Iran, khususnya oleh orang dalam yang memiliki akses ke sistem tersebut.

Sejumlah situs web terpenting pemerintah Iran, serta sistem online Kota Teheran dan jaringan radio dan televisi nasional, telah menjadi sasaran serangan besar-besaran sejak Januari 2022.

Grup/kelompok "Gyamsarnegouni ("Pemberontakan hingga Penggulingan") telah mengambil tanggung jawab atas serangan-serangan utama dan telah mengungkapkan banyak dokumen internal pemerintah Iran di akun Telegram-nya. Kelompok ini telah merusak halaman utama sejumlah situs web, memasang gambar Pemimpin Tertinggi Ali Khamenei yang dicoret, dan memasang gambar pemimpin oposisi Iran.

Pada tahun 2022, struktur dan layanan internet pemerintah Albania menjadi sasaran serangan siber besar-besaran, yang menimbulkan banyak masalah. Investigasi ekstensif yang dilakukan Microsoft dan pihak lain menuding Teheran.

Menurut penilaian Treadstone71, “Iran memiliki sejarah panjang dalam terlibat dalam serangan keamanan siber, dan menurut beberapa statistik, Iran menempati peringkat kelima di antara negara-negara yang dikenal sering menargetkan musuh mereka melalui perang siber.”

iklan

"Sebagai tindakan pencegahan keamanan," Treadstone71 mencatat dalam laporannya, "Iran memutuskan untuk mengalihkan situs web pemerintahnya dari server hosting Eropa ke perusahaan hosting domestik, sebagai bagian dari 'Internet Nasional'," dan sebagai hasilnya, “Semua pemerintah dan negara -situs web yang dikontrol dipindahkan dari server hosting Eropa dan Amerika ke host domestik,” dan “akses ke situs web tertentu yang dikontrol pemerintah dan negara dibatasi hanya pada 'Internet Nasional', sehingga tidak dapat diakses melalui internet global.”

Laporan Treadstone71 menggarisbawahi, “kami juga menyaksikan jenis serangan yang berbeda, berbeda dari serangan yang menyusup ke situs web pemerintah pada layanan hosting Iran yang rentan; yang dibuat oleh Gyamsarnegouni ("Pemberontakan hingga Penggulingan"). Serangan yang dilakukan oleh kelompok ini merupakan salah satu infiltrasi terdalam terhadap jaringan pemerintah Iran.”

Laporan itu mencatat:

Serangan-serangan ini menonjol karena tiga karakteristik utama:

1. Tingkat infiltrasi ke dalam jaringan pemerintah yang paling aman, hanya sebanding dengan serangan Stuxnet (yang menggunakan flash drive).

2. Volume dokumen yang dieksfiltrasi.

3. Meluasnya akses terhadap server dan komputer.

Laporan Treadstone71 menggarisbawahi bahwa jaringan radio dan televisi pemerintah, khususnya di negara-negara yang tidak demokratis seperti Iran, “adalah jaringan yang paling terisolasi dan paling terlindungi.” Pernyataan tersebut lebih lanjut menyatakan: “Jaringan penyiaran internal Iran tidak terhubung ke Internet dan mempunyai kesenjangan udara yang parah; artinya jaringan tersebut secara fisik terisolasi dari internet dan hanya dapat diakses dari dalam… Satu-satunya cara bagi pihak luar untuk mendapatkan akses ke jaringan tersebut adalah melalui infiltrasi fisik”

Pada bulan Januari 2022, media berita Iran menyatakan bahwa lembaga-lembaga pemerintah percaya bahwa serangan ini dilakukan oleh individu yang memiliki informasi orang dalam tentang sistem radio dan TV negara Iran.

Serangan terhadap situs Kota Teheran pada 2 Juni 2022 termasuk membobol 5,000 kamera yang digunakan untuk pengatur lalu lintas dan pengenalan wajah. Menurut Treadstone71, para peretas “akan mengetahui bahwa kamera tersebut tidak terhubung ke Internet dan mereka perlu mendapatkan akses fisik ke kamera tersebut untuk meretasnya.”

Namun temuan Treadstone71 yang paling mengejutkan terkait dengan dua serangan besar dan menarik perhatian yang dilakukan oleh Gyamasarnegouni Mei 2023.

Selama serangan terhadap situs Kementerian Luar Negeri Iran, peretas memperoleh akses ke 50 terabyte data dari arsip Kementerian. Penilaian Treadstone71 adalah bahwa hal ini memerlukan "penetrasi ke lapisan terdalam badan pemerintah ini. Sifat dokumen yang bocor menunjukkan bahwa dokumen tersebut tidak dapat diakses dari internet, sehingga semakin mendukung kecurigaan adanya keterlibatan orang dalam.”

Penilaian ahli Treadstone71 menyimpulkan bahwa “transfer data sebesar 50 TB tidak mungkin dilakukan dari jarak jauh – dan pada jaringan yang disaring seperti di Iran,” dan menambahkan bahwa besarnya peretasan juga mengungkap bagaimana peretasan tersebut dilakukan.

“Kecepatan pengunduhan Internet normal di Iran adalah 11.8 megabit per detik. Untuk mengunduh data sebesar 50 terabyte dari Kementerian Luar Negeri Iran dengan kecepatan ini akan memerlukan waktu pengunduhan tanpa gangguan selama lebih dari 392 hari atau lebih dari satu tahun, dan Internet di Iran sering terputus, dibatasi oleh pemerintah, dan mengalami pemadaman listrik rutin yang disebabkan oleh pemerintah. ” kata laporan itu.

“Berdasarkan angka-angka ini, serangan semacam itu kemungkinan besar terjadi melalui akses langsung ke data.”

Sehubungan dengan serangan terhadap situs web kantor kepresidenan, para peretas melanggar sistem komunikasi paling aman milik pemerintah dan memperoleh puluhan ribu dokumen yang berumur tidak lebih dari beberapa bulan.

Menurut seorang pakar Iran, situs ini “menggunakan alamat IP khusus yang tidak dapat ditembus.”

“Fakta bahwa para peretas memperoleh akses ke puluhan ribu dokumen yang berumur tidak lebih dari beberapa bulan juga menunjukkan bahwa orang dalam melakukan serangan tersebut. Dokumen-dokumen ini akan disimpan di komputer dengan akses terbatas ke Internet, dan akan sulit untuk melakukannya. agar orang luar bisa mengaksesnya," kata Treadstone71.

Laporan tersebut menyimpulkan dengan mengatakan: “Pemerintah Iran awalnya menyalahkan musuh asing. Namun, para pakar keamanan siber dan banyak bukti menunjukkan adanya keterlibatan orang dalam.”

Bagikan artikel ini: