Badan-badan keamanan siber AS dan Israel telah menerbitkan sebuah peringatan baru yang menghubungkan kelompok siber Iran yang menargetkan Olimpiade Musim Panas 2024 dan menyusupi penyedia layar dinamis komersial Prancis untuk menampilkan pesan-pesan yang mengecam partisipasi Israel dalam acara olahraga tersebut.
Kegiatan tersebut telah disematkan pada entitas yang dikenal sebagai Emennet Pasargad, yang menurut agensi tersebut telah beroperasi dengan nama samaran Aria Sepehr Ayandehsazan (ASA) sejak pertengahan tahun 2024. Ini dilacak oleh komunitas keamanan siber yang lebih luas seperti Cotton Sandstorm, Haywire Kitten, dan Marnanbridge.
“Kelompok ini menunjukkan keahlian baru dalam upayanya untuk melakukan operasi informasi melalui dunia maya hingga pertengahan tahun 2024 dengan menggunakan berbagai persona penyamaran, termasuk beberapa operasi dunia maya yang terjadi selama dan menargetkan Olimpiade Musim Panas 2024 – termasuk kompromi dari tampilan dinamis komersial Prancis penyedia, “menurut penasehat.
ASA, kata Biro Investigasi Federal AS (FBI), Departemen Keuangan, dan Direktorat Siber Nasional Israel, juga mencuri konten dari kamera IP dan menggunakan perangkat lunak kecerdasan buatan (AI) seperti Remini AI Photo Enhancer, Voicemod, dan Murf AI untuk modulasi suara, dan Appy Pie untuk pembuatan gambar untuk menyebarkan propaganda.
Dinilai sebagai bagian dari Korps Garda Revolusi Islam (IRGC) Iran, aktor ancaman ini dikenal dengan operasi siber dan pengaruhnya di bawah persona Al-Toufan, Tim Anzu, Cyber Cheetah, Cyber Flood, For Humanity, Menelaus, dan Market of Data , antara lain.
Salah satu taktik yang baru diamati adalah penggunaan reseller hosting fiktif untuk menyediakan infrastruktur server operasional untuk tujuannya sendiri serta kepada aktor di Lebanon yang menghosting situs web yang berafiliasi dengan Hamas (misalnya, alqassam[.]ps).
“Sejak sekitar pertengahan tahun 2023, ASA telah menggunakan beberapa penyedia hosting terselubung untuk pengelolaan dan pengaburan infrastruktur,” kata badan tersebut. “Kedua penyedia ini adalah 'Server-Speed' (kecepatan server[.]com) dan 'VPS-Agent' (vps-agent[.]bersih).”
“ASA mendirikan pengecernya sendiri dan membeli ruang server dari penyedia yang berbasis di Eropa, termasuk perusahaan BAcloud yang berbasis di Lituania dan Stark Industries Solutions/PQ Hosting (masing-masing berlokasi di Inggris dan Moldova). ASA kemudian memanfaatkan pengecer penutup ini untuk menyediakan server operasional kepada pelaku dunia mayanya sendiri untuk aktivitas dunia maya yang berbahaya.”
Serangan yang ditujukan terhadap penyedia tampilan komersial Prancis yang tidak disebutkan namanya terjadi pada Juli 2024 menggunakan infrastruktur agen VPS. Mereka berusaha menampilkan montase foto yang mengkritik partisipasi atlet Israel di Olimpiade dan Paralimpiade 2024.
Lebih lanjut, ASA diduga berusaha menghubungi anggota keluarga sandera Israel setelah perang Israel-Hamas pada awal Oktober 2023 dengan menggunakan nama Contact-HSTG dan mengirimkan pesan yang kemungkinan besar akan “menyebabkan efek psikologis tambahan dan menimbulkan trauma lebih lanjut.”
Pelaku ancaman juga telah dikaitkan dengan persona lain yang dikenal sebagai Cyber Court, yang mempromosikan aktivitas beberapa kelompok peretas yang dijalankan sendiri di saluran Telegram dan situs web khusus yang dibuat untuk tujuan ini (“cybercourt[.]io”).
Kedua domain tersebut, vps-agent[.]bersih dan pengadilan siber[.]io, telah ditangkap setelah operasi penegakan hukum gabungan yang dilakukan oleh Kantor Kejaksaan AS untuk Distrik Selatan New York (SDNY) dan FBI.
Bukan itu saja. Setelah pecahnya perang, ASA diyakini telah melakukan upaya untuk menghitung dan memperoleh konten dari kamera IP di Israel, Gaza, dan Iran, serta mengumpulkan informasi tentang pilot pesawat tempur Israel dan operator kendaraan udara tak berawak (UAV) melalui situs-situs seperti tahuem.com, facecheck.id, socialcatfish.com, ancestry.com, dan familysearch.org.
Perkembangan ini terjadi ketika Departemen Luar Negeri AS mengumumkan hadiah hingga $10 juta bagi informasi yang mengarah pada identifikasi atau keberadaan orang-orang yang terkait dengan kelompok peretas yang terkait dengan IRGC yang dijuluki Shahid Hemmat karena menargetkan infrastruktur penting AS.
“Shahid Hemmat telah dikaitkan dengan aktor siber jahat yang menargetkan industri pertahanan AS dan sektor transportasi internasional,” katanya.
“Sebagai komponen IRGC-CEC [Cyber-Electronic Command]Shahid Hemmat terhubung dengan individu dan organisasi terkait IRGC-CEC lainnya termasuk: Mohammad Bagher Shirinkar, Mahdi Lashgarian, Alireza Shafie Nasab, dan perusahaan depan Emennet Pasargad, Dadeh Afzar Arman (DAA), dan Mehrsam Andisheh Saz Nik (MASN). “