Cyber Security

Badan Keamanan AS Peringatkan Meningkatnya Serangan Siber Iran pada Pertahanan, Jaringan OT, dan Infrastruktur Kritis

Diposting oleh author-avatar
Pada 8 September 2025
0 komentar

Goverment

Badan Keamanan AS Peringatkan Meningkatnya Serangan Siber Iran pada Pertahanan, Jaringan OT, dan Infrastruktur Kritis

Badan keamanan siber dan intelijen AS mengeluarkan peringatan bersama terkait potensi serangan siber dari aktor yang disponsori atau berafiliasi dengan negara Iran.

“Selama beberapa bulan terakhir, terdapat peningkatan aktivitas dari kelompok hacktivist dan aktor yang berafiliasi dengan pemerintah Iran, yang diperkirakan akan meningkat karena peristiwa terkini,” kata badan-badan tersebut.

“Aktor siber ini sering mengeksploitasi target yang rentan akibat penggunaan perangkat lunak yang belum ditambal atau usang dengan Common Vulnerabilities and Exposures (CVE) yang sudah diketahui, atau penggunaan kata sandi default maupun kata sandi umum pada akun dan perangkat yang terhubung ke internet.”

Saat ini tidak ada bukti adanya kampanye terkoordinasi dari aktivitas siber berbahaya di AS yang dapat dikaitkan dengan Iran, menurut Badan Keamanan Siber dan Infrastruktur (CISA), Biro Investigasi Federal (FBI), Pusat Kejahatan Siber Departemen Pertahanan (DC3), dan Badan Keamanan Nasional (NSA).

Menekankan perlunya “kewaspadaan yang meningkat”, badan-badan tersebut menyoroti perusahaan Defense Industrial Base (DIB), khususnya yang memiliki keterkaitan dengan perusahaan riset dan pertahanan Israel, sebagai pihak yang berisiko lebih tinggi. Entitas AS dan Israel juga berpotensi menjadi target serangan DDoS dan kampanye ransomware.

Para penyerang biasanya memulai dengan alat reconnaissance seperti Shodan untuk menemukan perangkat yang rentan dan terbuka ke internet, khususnya di lingkungan Industrial Control System (ICS). Setelah masuk, mereka dapat mengeksploitasi segmentasi jaringan yang lemah atau firewall yang salah konfigurasi untuk bergerak secara lateral di jaringan. Kelompok Iran sebelumnya telah menggunakan Remote Access Tools (RATs), keylogger, bahkan utilitas admin sah seperti PsExec atau Mimikatz untuk meningkatkan akses—sembari menghindari pertahanan endpoint dasar.

Berdasarkan kampanye sebelumnya, serangan yang dilakukan aktor ancaman Iran memanfaatkan teknik seperti tebakan kata sandi otomatis, cracking hash kata sandi, dan penggunaan kata sandi default pabrikan untuk memperoleh akses ke perangkat yang terbuka ke internet. Mereka juga diketahui menggunakan alat teknik sistem dan diagnostik untuk membobol jaringan Operational Technology (OT).

Perkembangan ini muncul beberapa hari setelah Departemen Keamanan Dalam Negeri (DHS) merilis buletin yang mendesak organisasi di AS agar mewaspadai kemungkinan serangan siber skala kecil oleh hacktivist pro-Iran di tengah ketegangan geopolitik yang sedang berlangsung antara Iran dan Israel.

Minggu lalu, Check Point mengungkapkan bahwa kelompok peretas Iran yang dilacak sebagai APT35 menargetkan jurnalis, pakar keamanan siber terkenal, dan profesor ilmu komputer di Israel dalam kampanye spear-phishing. Tujuannya adalah mencuri kredensial akun Google mereka melalui halaman login Gmail palsu atau undangan Google Meet.

Mitigasi yang disarankan:

  • Identifikasi dan putuskan sambungan aset OT dan ICS dari internet publik

  • Pastikan perangkat dan akun dilindungi dengan kata sandi yang kuat dan unik, ganti kata sandi lemah atau default, dan terapkan multi-factor authentication (MFA)

  • Terapkan MFA tahan-phishing untuk akses ke jaringan OT dari jaringan lain

  • Pastikan sistem menjalankan patch perangkat lunak terbaru untuk melindungi dari kerentanan yang sudah diketahui

  • Pantau log akses pengguna untuk akses jarak jauh ke jaringan OT

  • Tetapkan proses OT yang mencegah perubahan tidak sah, hilangnya visibilitas, atau hilangnya kendali

  • Gunakan backup sistem dan data penuh untuk memfasilitasi pemulihan

Bagi organisasi yang bingung harus mulai dari mana, langkah praktis pertama adalah meninjau permukaan serangan eksternal—sistem apa saja yang terbuka, port mana yang terbuka, dan apakah ada layanan lama yang masih berjalan. Alat seperti program Cyber Hygiene CISA atau pemindai open-source seperti Nmap dapat membantu mengidentifikasi risiko sebelum dimanfaatkan penyerang. Menyelaraskan pertahanan dengan kerangka MITRE ATT&CK juga memudahkan prioritisasi perlindungan berdasarkan taktik nyata yang digunakan aktor ancaman.

“Meski telah ada deklarasi gencatan senjata dan negosiasi menuju solusi permanen, aktor siber berafiliasi dengan Iran dan kelompok hacktivist kemungkinan masih akan melakukan aktivitas siber berbahaya,” kata badan-badan tersebut.

Pembaruan

Dalam laporan terbaru, Censys mengungkapkan adanya 43.167 perangkat Tridium Niagara yang terbuka ke internet, 2.639 dari Red Lion, 1.697 dari Unitronics, dan 123 dari Orpak SiteOmat per Juni 2025. Sebagian besar peningkatan paparan Tridium Niagara terlihat di Jerman, Swedia, dan Jepang.

Laporan itu juga mencatat bahwa kata sandi default masih menjadi jalur termudah bagi aktor ancaman untuk mengakses sistem kritis, dan mendesak produsen untuk tidak lagi mengirim perangkat/perangkat lunak dengan kredensial default. Sebaliknya, produsen diminta mewajibkan penggunaan kata sandi unik yang kuat serta menyediakan opsi agar sistem mereka tidak terekspos langsung ke internet.

“Selain Unitronics, yang paling sering diamati di Australia, jumlah perangkat tertinggi terlihat di AS,” kata perusahaan itu. “Meskipun Tridium Niagara memiliki angka paparan tertinggi, itu adalah perangkat lunak otomasi gedung. Tergantung pada tujuan aktor ancaman, sistem ini, meskipun banyak, mungkin bukan target paling berharga.”

SOCRadar mengatakan konflik Iran-Israel tahun 2025 telah memicu lonjakan aktivitas siber, dengan lebih dari 600 klaim serangan siber dilaporkan di lebih dari 100 kanal Telegram antara 12–27 Juni 2025. Israel menjadi negara paling banyak diserang dengan 441 klaim, disusul AS (69), India (34), dan negara Timur Tengah seperti Yordania (33) dan Arab Saudi (13).

Kelompok hacktivist teratas dalam periode tersebut termasuk Mr Hamza, Keymous, Mysterious Team, Team Fearless, GARUDA_ERROR_SYSTEM, Dark Storm Team, Arabian Ghosts, Cyber Fattah, CYBER U.N.I.T.Y, dan NoName057(16). Sektor pemerintahan, pertahanan, telekomunikasi, layanan keuangan, dan teknologi adalah yang paling banyak disasar.

“Sejak perang dimulai, peretas yang disponsori negara, hacktivist dari kedua negara, serta aktor siber dari negara lain mulai dari Asia Selatan, Rusia, hingga Timur Tengah telah aktif,” kata perusahaan intelijen ancaman tersebut. “Israel menjadi target utama serangan DDoS, dengan 357 klaim, mencakup 74% dari seluruh aktivitas DDoS.”

Menyoroti lonjakan aktivitas hacktivist di tengah konflik, peneliti Outpost24 KrakenLabs, Lidia López Sanz, mengatakan lebih dari 80 kelompok hacktivist berbeda “secara aktif melakukan atau mendukung” operasi siber ofensif yang menargetkan Israel dan sekutunya, seraya menambahkan bahwa entitas faketivist yang dicurigai seperti Cyber Av3ngers, Handala, dan Predatory Sparrow kemungkinan beroperasi dengan dukungan negara atau langsung di bawah arahan negara.

Di antara kolektif hacktivist yang menyatakan solidaritas dengan Iran termasuk DieNet, Mysterious Team Bangladesh, Team Insane Pakistan, Z-Alliance, Server Killers, Akatsuki Cyber Team, GhostSec, Keymous+, Inteid, Anonymous Kashmir, dan Mr Hamza Cyber Force.

“Lonjakan dramatis operasi siber hacktivist setelah eskalasi geopolitik terbaru antara Israel dan Iran menegaskan peran sentral konflik siber dalam peperangan modern,” kata Outpost24. “Hacktivist yang digerakkan ideologi, bersama faketivist yang kemungkinan didukung negara, jelas menunjukkan kesiapan mereka mengeksploitasi ketegangan geopolitik untuk mengejar beragam tujuan strategis.”

Kembali ke daftar
Lebih tua Kementerian ESDM Puji PLN Produksi Green Hydrogen Pertama di Indonesia

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *