Peretas Iran Bobol Email Pribadi Direktur FBI dan Serang Stryker dengan Malware Penghapus

Peretas yang terkait dengan Iran berhasil membobol email pribadi Direktur FBI, Kash Patel, dan melancarkan serangan wiper pada perusahaan Stryker, meningkatkan eskalasi operasi siber destruktif. Insiden ini menggarisbawahi peningkatan ketegangan siber seiring konflik geopolitik antara AS, Israel, dan Iran, yang telah mendorong Iran untuk melakukan serangan balasan terhadap target Barat.

Peretasan Email Pribadi Direktur FBI oleh Kelompok Handala Hack

Kelompok Handala Hack, yang diyakini berafiliasi dengan Kementerian Intelijen dan Keamanan Iran (MOIS), mengklaim telah membobol email pribadi Kash Patel. Dalam pernyataannya, kelompok ini menyatakan bahwa Patel "akan tercatat sebagai salah satu korban yang berhasil diretas." FBI mengonfirmasi bahwa email Patel memang menjadi sasaran dan telah mengambil langkah mitigasi untuk mengurangi risiko yang mungkin timbul.

Menurut FBI, data yang bocor bersifat historis dan tidak mengandung informasi pemerintah terkini. Bocoran tersebut meliputi email dari tahun 2010 dan 2019 yang diduga berasal dari Patel.

Profil dan Metode Serangan Handala Hack

Handala Hack dikenal sebagai persona hacktivist pro-Iran dan pro-Palestina yang diadopsi oleh MOIS, dengan beberapa alias lain yang dipantau oleh komunitas keamanan siber seperti Banished Kitten, Cobalt Mystique, Red Sandstorm, dan Void Manticore. Kelompok ini juga mengoperasikan persona Homeland Justice yang menargetkan entitas Albania sejak 2022, serta menggantikan persona Karma sejak akhir 2023.

Menurut laporan The Hacker News dan analisis dari Check Point, Handala Hack mengandalkan kompromi akun VPN untuk akses awal, menggunakan Remote Desktop Protocol (RDP) untuk pergerakan lateral, serta meluncurkan malware penghapus seperti Handala Wiper dan Handala PowerShell Wiper melalui skrip Group Policy logon. Mereka juga memakai alat enkripsi disk sah seperti VeraCrypt untuk menghambat upaya pemulihan data.

• Serangan Handala Hack menekankan gangguan, dampak psikologis, dan sinyal geopolitik daripada motivasi finansial.
• Operasi mereka sering terjadi di waktu ketegangan geopolitik yang meningkat.
• Target serangan umumnya organisasi dengan nilai simbolis atau strategis.

Serangan Wiper pada Stryker: Ancaman Baru bagi Rantai Pasok Kesehatan

Handala Hack mengklaim bertanggung jawab atas serangan destruktif yang menimpa Stryker, perusahaan penyedia perangkat medis dan layanan kesehatan. Mereka berhasil menghapus data besar-besaran dan melumpuhkan ribuan perangkat karyawan, menjadikan ini serangan wiper pertama yang dikonfirmasi terhadap perusahaan Fortune 500 AS.

Stryker menyatakan insiden tersebut telah berhasil dikendalikan dan mereka segera menghilangkan akses tidak sah serta memutus mekanisme yang dipasang pelaku di lingkungan internal Microsoft mereka. Serangan terbatas pada infrastruktur internal Microsoft dan menggunakan file berbahaya untuk menyembunyikan aktivitas tanpa kemampuan penyebaran luas.

Menurut Palo Alto Networks Unit 42, serangan ini kemungkinan besar berawal dari eksploitasi identitas melalui phishing dan akses administratif via Microsoft Intune. Investigasi juga mengungkap penggunaan kredensial yang dicuri melalui malware infostealer.

Microsoft dan CISA telah mengeluarkan panduan untuk memperkuat keamanan domain Windows dan Intune, termasuk penerapan prinsip least privilege, autentikasi multi-faktor tahan phishing, dan persetujuan multi-admin untuk perubahan sensitif.

Operasi Siber dan Dampak Geopolitik yang Lebih Luas

Serangan ini terjadi bersamaan dengan operasi pengadilan AS yang menyita empat domain milik MOIS sejak 2022 untuk mengganggu aktivitas siber jahatnya. Domain yang disita digunakan untuk operasi psikologis, pengungkapan data sensitif, dan ancaman kekerasan terhadap jurnalis serta oposisi rezim.

• Domain yang disita: justicehomeland[.]org, handala-hack[.]to, karmabelow80[.]org, handala-redwanted[.]to.
• Data rahasia mencakup nama dan informasi 190 individu terkait IDF dan pemerintah Israel serta 851 GB data komunitas Yahudi Sanzer Hasidic.
• Email ancaman digunakan untuk menyerang dissiden dan jurnalis di AS dan luar negeri.

FBI juga mengungkap bahwa aktor MOIS memakai taktik rekayasa sosial di aplikasi pesan untuk menyebarkan malware Windows dengan kontrol jarak jauh via bot Telegram, menyamarkan malware sebagai program populer seperti Pictory, KeePass, Telegram, atau WhatsApp. Malware ini dapat merekam audio dan layar selama sesi Zoom aktif, menargetkan dissiden dan jurnalis.

Menurut Flashpoint, serangan terhadap Stryker menandai pergeseran berbahaya dalam ancaman rantai pasok, di mana serangan terhadap pemasok kritis dapat berdampak luas pada ekosistem kesehatan.

Analisis Redaksi

Menurut pandangan redaksi, serangan yang menargetkan pribadi pejabat tinggi seperti Direktur FBI dan perusahaan besar seperti Stryker menunjukkan eskalasi signifikan dalam strategi siber Iran yang kini menggabungkan elemen destruktif dan psikologis untuk mencapai tujuan geopolitik. Ini bukan sekadar pencurian data, melainkan serangan yang mampu melumpuhkan layanan vital dan menimbulkan ketidakpastian luas.

Penggunaan alat administratif resmi dan teknik canggih seperti enkripsi disk serta komunikasi lewat platform sah seperti Telegram memperumit deteksi dan mitigasi, menuntut peningkatan kesiapan dan koordinasi lintas sektor keamanan siber nasional dan internasional.

Ke depan, publik dan sektor privat harus memperhatikan risiko serangan rantai pasok yang semakin canggih, karena dampaknya tidak hanya pada perusahaan target tetapi bisa meluas ke seluruh layanan kritis, khususnya di bidang kesehatan. Pemantauan berkelanjutan dan penerapan praktik keamanan siber terbaik menjadi kunci menghadapi ancaman yang semakin terorganisir dan destruktif ini.

Untuk informasi lebih lanjut dan pembaruan terkini, pembaca disarankan mengikuti perkembangan dari sumber terpercaya dan lembaga keamanan siber resmi.