Sebanyak 25 situs web yang terkait dengan minoritas Kurdi telah disusupi sebagai bagian dari serangan yang dirancang untuk mengumpulkan informasi sensitif selama lebih dari satu setengah tahun.
Perusahaan keamanan siber Prancis Sekoia, yang membeberkan rincian kampanye yang diberi nama SilentSelfie, menggambarkan intrusi tersebut berlangsung lama, dengan tanda-tanda infeksi pertama terdeteksi sejak Desember 2022.
Kompromi web strategis dirancang untuk memberikan empat varian berbeda dari kerangka pencurian informasi, tambahnya.
“Ini berkisar dari yang paling sederhana, yang hanya mencuri lokasi pengguna, hingga yang lebih kompleks yang merekam gambar dari kamera selfie dan mengarahkan pengguna tertentu untuk memasang APK berbahaya, yaitu aplikasi yang digunakan di Android,” peneliti keamanan Felix Aimé dan Maxime A mengatakan dalam laporan hari Rabu.
Situs-situs web yang menjadi sasaran mencakup pers dan media Kurdi, pemerintahan Rojava dan angkatan bersenjatanya, serta situs-situs yang terkait dengan partai dan organisasi politik sayap kiri revolusioner di wilayah Türkiye dan Kurdi. Sekoia mengatakan kepada The Hacker News bahwa metode pasti yang digunakan untuk membobol situs-situs ini masih belum pasti.
Serangan-serangan tersebut belum dikaitkan dengan aktor atau entitas ancaman mana pun, yang menunjukkan munculnya kelompok ancaman baru yang menargetkan komunitas Kurdi, yang sebelumnya telah diidentifikasi oleh kelompok-kelompok seperti StrongPity dan BladeHawk.
Awal tahun ini, perusahaan keamanan Belanda Hunt & Hackett juga mengungkapkan bahwa situs-situs Kurdi di Belanda diincar oleh aktor ancaman Türkiye-nexus yang dikenal sebagai Sea Turtle.
Serangan watering hole ditandai dengan penerapan JavaScript berbahaya yang bertanggung jawab mengumpulkan berbagai jenis informasi dari pengunjung situs, termasuk lokasi mereka, data perangkat (misalnya, jumlah CPU, status baterai, bahasa browser, dll.), dan informasi publik. Alamat IP, antara lain.
Salah satu varian skrip pengintaian ditemukan di tiga situs (rojnews[.]berita, berita hawar[.]com, dan targetplatform[.]net.) juga telah diamati mengarahkan pengguna ke file APK Android jahat, sementara beberapa lainnya menyertakan kemampuan untuk melacak pengguna melalui cookie bernama “sessionIdVal.”
Aplikasi Android, berdasarkan analisis Sekoia, menyematkan situs web itu sendiri sebagai WebView, sekaligus secara diam-diam menyedot informasi sistem, daftar kontak, lokasi, dan file yang ada di penyimpanan eksternal berdasarkan izin yang diberikan padanya.
“Perlu dicatat bahwa kode berbahaya ini tidak memiliki mekanisme persistensi apa pun tetapi hanya dieksekusi ketika pengguna membuka aplikasi RojNews,” kata para peneliti.
“Setelah pengguna membuka aplikasi, dan setelah 10 detik, layanan LocationHelper mulai mengarahkan latar belakang ke URL rojnews[.]news/wp-includes/sitemaps/ melalui permintaan HTTP POST, membagikan lokasi pengguna saat ini dan menunggu perintah dijalankan.”
Tidak banyak yang diketahui siapa dalang di balik SilentSelfie, namun Sekoia menilai hal tersebut mungkin merupakan ulah Pemerintah Daerah Kurdistan Irak berdasarkan penangkapan jurnalis RojNews Silêman Ehmed oleh pasukan KDP pada Oktober 2023. Ia dijatuhi hukuman tiga tahun penjara penjara pada Juli 2024.
“Meskipun kampanye yang menarik perhatian ini tidak terlalu canggih, hal ini penting karena jumlah situs Kurdi yang terkena dampak dan durasinya,” kata para peneliti. “Tingkat kecanggihan kampanye yang rendah menunjukkan bahwa ini mungkin merupakan hasil kerja aktor ancaman yang tidak diketahui dengan kemampuan terbatas dan relatif baru di bidangnya.”