Israel yang diincar oleh kelompok hacker Hizbullah, tetap luput dari perhatian selama 5 tahun

Januari 28, 2021 by Tidak ada Komentar


Selama dekade terakhir, perusahaan di AS, Inggris, Mesir, Yordania, Lebanon, Israel, dan Otoritas Palestina menjadi sasaran kelompok peretas bernama Lebanon Cedar, juga dikenal sebagai Volatile Cedar, yang tampaknya terkait dengan Hezbollah, ClearSky Cyber ​​Security Grup tersebut telah beroperasi sejak 2012, tetapi tidak terlalu mencolok sejak 2015. Grup peretas Cedar Lebanon tampaknya berhasil tetap tidak diperhatikan oleh komunitas keamanan selama lima tahun terakhir, menurut laporan tersebut. untuk penilaian oleh perusahaan teknologi perangkat lunak Check Point bahwa Lebanese Cedar terkait dengan pemerintah Lebanon atau kelompok politik Lebanon, menambahkan bahwa terdapat indikasi bahwa kelompok peretas terkait dengan Unit Siber Hizbullah. Kelompok ini dikenal dengan “sangat operasi mengelak, ditargetkan secara selektif, dan dikelola dengan hati-hati, “menurut ClearSky, yang cocok dengan grup Ancaman Persisten Tingkat Lanjut yang didanai oleh negara- negara atau kelompok politik. Serangan ditemukan setelah aktivitas jaringan yang mencurigakan dan alat peretasan ditemukan di berbagai perusahaan pada awal tahun 2020.Sebuah versi baru dari RAT “Peledak” V4 (Alat Akses Jarak Jauh) atau “Caterpillar” V2 WebShell ditemukan di jaringan yang terpengaruh. ClearSky mengidentifikasi peramban berkas JSP sumber terbuka yang telah dimodifikasi untuk tujuan peretas. Lebanon Cedar adalah satu-satunya pelaku ancaman yang diketahui yang menggunakan kode ini, menurut laporan itu. File-file itu diinstal pada server Oracle korban, mengeksposnya dan memungkinkan peretas untuk menginstal file baru di server. Sekitar 254 server yang terinfeksi ditemukan di seluruh dunia. Sebagian besar korban berasal dari perusahaan telekomunikasi dan IT, hosting, komunikasi dan hosting serta aplikasi.

Perusahaan yang menjadi sasaran antara lain Vodafone Egypt, Secured Servers LLC di AS, Hadara di PA, Jordanian Universities Network LLC di Yordania, Mobily di Arab Saudi dan Etisalat di UEA, antara lain. Banyak perusahaan lain kemungkinan besar telah diretas dan informasi dicuri oleh Cedar Lebanon selama beberapa bulan dan tahun.Pada 2015, Check Point mengumumkan bahwa mereka telah menemukan kampanye serangan oleh Cedar Lebanon yang menargetkan perusahaan kontraktor pertahanan, perusahaan telekomunikasi dan media, dan lembaga pendidikan di sekitar 10 negara, termasuk AS, Kanada, Inggris, Turki, Lebanon, dan Israel. Analis ClearSky memiliki beberapa asumsi tentang bagaimana Cedar Lebanon berhasil tetap tidak diperhatikan selama lima tahun terakhir. Salah satu penjelasan yang mungkin adalah bahwa karena grup peretas menggunakan antarmuka mirip shell berbasis web umum untuk mengaktifkan akses jarak jauh sementara jarang menggunakan alat lain, hal ini membuat para peneliti menemui jalan buntu dalam hal menghubungkan peretasan ke grup tertentu. Penjelasannya adalah bahwa Cedar Lebanon mengubah fokusnya secara signifikan. Meskipun awalnya menyerang komputer sebagai titik akses awal, ia kemudian berkembang ke jaringan korban dan akhirnya ke server web yang rentan dan dihadapi publik. Server yang paling sering diserang adalah versi rentan dari server web Oracle, menurut ClearSky. Grup tersebut juga kemungkinan memiliki periode tidak aktif yang lama, yang memungkinkan mereka untuk menghindari perhatian. Sebagian besar alat yang digunakan oleh grup dalam kampanye terbarunya adalah dikembangkan oleh grup itu sendiri, tetapi beberapa alat open source, termasuk yang dikembangkan oleh grup hacktivist Iran, juga digunakan oleh Lebanese Cedar. ClearSky menemukan bahwa grup tersebut menggunakan proses penargetan yang sangat selektif yang mengindikasikan bahwa mereka melakukan pengintaian ekstensif. melaporkan, kampanye serangan kemungkinan besar dimulai pada akhir 2012, dengan serangan terhadap individu, perusahaan, dan lembaga negara yang dipilih dengan cermat di seluruh dunia. “Sebagai orang Israel, kami sangat berpuas diri terhadap kelompok penyerang negara. Kami memiliki perasaan bahwa jika kami dianggap sebagai kekuatan siber dalam perkembangan dan startup termasuk aktivitas militer yang jaya, maka kita tahu segalanya dan tidak bisa disentuh, “kata konsultan keamanan siber Einat Meyron dalam menanggapi laporan tersebut. “Kami juga menjadi terbiasa berpikir bahwa hanya Iran, Rusia, China dan Korea Utara yang memimpin lapangan dan inilah bukti dari kesalahan mendasar. Ada banyak peretas yang baik dan canggih di seluruh dunia, bahkan di negara-negara yang secara fundamental lebih lemah dari kami. dalam hal sumber daya dan anggaran dan tidak kalah berbahayanya. “” Faktanya, perilaku kami terhadap kelompok seperti yang diungkap ClearSky tidak berbeda dengan perilaku kami terhadap kelompok penyerang yang jauh lebih terekspos dalam berita, “tambah Meyron, menekankan bahwa pandangan bahwa “Ini tidak akan terjadi pada kita” adalah tidak benar dan bisnis seharusnya berpikir “Apa yang harus saya lakukan segera sehingga ketika hal itu terjadi pada saya, kelangsungan bisnis saya tidak akan terpengaruh secara material.” Laporan muncul setelah serangkaian serangan siber menargetkan bisnis dan institusi Israel, termasuk Ben-Gurion University of the Negev, Israel Aerospace Industries, perusahaan asuransi Shirbit, dan perusahaan perangkat lunak Amital. ted bahwa itu menangani lebih dari 11.000 pertanyaan di 119 hotline-nya pada tahun 2020, 30% lebih banyak daripada yang ditangani pada tahun 2019. Direktorat membuat sekitar 5.000 permintaan kepada entitas untuk menangani kerentanan yang membuat mereka rentan terhadap serangan dan telah melakukan kontak dengan sekitar 1.400 entitas terkait upaya atau serangan yang sukses.Hezbollah sendiri menjadi sasaran serangan cyber pada akhir Desember, ketika sebuah kelompok peretas bernama Spiderz mengklaim bahwa mereka telah berhasil meretas organisasi keuangan Al-Qard Al-Hassan milik Hizbullah dan membocorkan rincian tentang deposan dan peminjam dari pemberi pinjaman. merilis daftar klien dan anggaran tahunan organisasi di situs webnya, serta video yang mengumumkan peretasan. Informasi yang bocor termasuk nomor rekening, ID pemerintah dan informasi paspor, serta formulir pendaftaran, laporan rekening, dan dokumen keuangan tambahan, termasuk rincian rekening bank yang diklaim oleh kelompok peretas yang dimiliki organisasi di bank Lebanon lainnya, termasuk Jammal. Trust Bank, yang pernah dikenakan sanksi AS tahun lalu karena diduga memfasilitasi kegiatan keuangan Hizbullah. Bank lain yang terdaftar juga dapat menghadapi sanksi AS jika informasinya diverifikasi. Pada saat itu, sumber mengatakan kepada Al-Akhbar bahwa pihak berwenang percaya bahwa serangan itu dilakukan oleh badan intelijen asing atau oleh peretas lokal dengan bantuan mantan karyawan.


Dipersembahkan Oleh : Hongkong Prize