Sebuah kelompok hacker terkenal yang disponsori oleh negara Iran baru saja diketahui beroperasi menggunakan VPN yang mereka program sendiri. Bernama APT32, grup hacking misterius yang berperan sebagai senjata spionase Iran ini diketahui menggunakan sebuah VPN private yang mereka gunakan untuk kegiatan peretasan, mata-mata, hingga browsing di dunia maya sehari-hari.
Temuan ini kali pertama dilaporkan oleh salah satu perusahaan pertahanan dan perlindungan cyber yang bernama Trend Micro. Menurut Trend Micro, kelompok hacker ini merupakan kelompok yang bertanggung jawab terhadap Shamoon Malware di tahun 2012 yang sempat menghapus bersih hardisk dari 35.000 komputer milik perusahaan Arab Saudi yaitu Arabia’s Saudi Aramco.
Siapa Target Penyerangan APT32
Kelompok hacker ini memang cukup terkenal menyerang beberapa perusahaan besar yang berkecimbung di sektor Penerbangan, Minyak, serta perusahaan Amerika yang menyediakan jasa pertahanan nasional negaranya. Tak sampai disitu mereka juga dilaporkan melakukan penyerangan terhadap pihak-pihak yang memilik hubungan terhadap kampus di U.S, Militer U.S. Beberapa laporan juga mengatakan bahwa terdapat korban dari Timur Tengah dan juga Asia.
Namun perusahaan Trend Micro berhasil mendapatkan sebuah insight baru dari peretasan terakhir mereka. Dimana cara kerja mereka berhasil diketahui.
Cara Beroprasi APT32
Trend Micro menemukan bahwa hacker ini berkerja dengan beberapa lapis tahapan untuk membuat jejak mereka sulit ditemukan. Dimana lapis pertama mereka menggunakan Custom VPN yang mereka buat sendiri untuk menutupi jejak mereka, lalu mereka membuat Bot Controller Layer yang bertugas sebagai server perantara, lalu lapis ketiga adalah C&C Backend Layer dimana mereka akan menyuntikan malware mereka ke server backend, dan lapisan terakhir adalah Proxy Layer yang berfungsi sebagai penyembunyi malware dimana lapisan ini digunakan oleh server C&C.
Namun terdapat masalah pada sistem yang digunakan oleh APT32, dimana kebanyakan kelompok hacker menggunakan VPN komersil, justru APT32 menggunakan VPN Custom mereka sendiri. Dimana menurut Trend Micro, cara ini justru lebih beresiko untuk membuat mereka ketahuan, karena analyst tak perlu lagi mengecek IP yang sangat banyak seperti pada VPN komersil, melainkan hanya beberapa IP terakhir saja.
“Membuat private VPN bisa mudah dilakukan dengan cara menyewa beberapa server dari data center diseluruh dunia dan menggunakan software open source seperti OpenVPN. Meski beberapa koneksi dari private VPN tetap datang dari IP yang tak berhubungan langsung, tapi traffic semacam ini ternyata lebih mudah untuk di telusuri.” Kata Trend Micro.
Meski Trend Micro berhasil mengetahui bagaimana cara mereka berkerja serta IP mereka yang bersangkutan. Namun sepertinya identitas kelompok peretas dari APT32 masih jauh dari terbongkar. Jika kalian tertarik membaca berita mengenai teknologi terbaru kalian bisa membacanya disini.
Source: ZDNet, Trend Micro