Menu

Open-source Intelligence Behind WiseID Threat Actor.

Artikel ini dibuat atas dasar penasaran dan gabut aja karena beberapa hari yang lalu Pak Aries Dosen IT Security ngasih tugas untuk demonstrasi bikin digital certificate buat implementasi gimana sih bentuk Public Key Infrastructure. Waktu itu Pak Aris minta untuk bikin Sertifikat dengan model S/Mime yang buat enkripsi email, tapi dengan syarat gak boleh pakai Actalis. Singkat cerita setelah pencarian panjang buat nyari generator certificate gratis akhirnya nemu lah salah satu platform yang bisa generate Sertifikat Digital Gratis, namanya WiseID.

WiseID ini sebenernya platform buat digital identity, tapi dia juga bisa kasih fitur untuk bikin sertifikat S/Mime dimana jadi penyelamat banget buat bisa ngerjain tugas ini. Setelah gw bikin tugas dan nyaranin temen-temen buat pake ini, beberapa hari kemudian tiba tiba temen WA ngabarin kalau websitenya gak bisa diakses dan muncul kata kata hacked blablabla.

Chat Temen

Iyak bener, websitenya di hack. Seriously disaat orang-orang lagi pada butuh eh ada aja masalahnya wkwkwk. Sebenernya gak peduli juga sih websitenya mau di hek apa gimana, soalnya toh pihak WiseID nya juga gak ngadain BugBounty jadi gak berani untuk pentest ke sistem mereka. Tapi gw penasaran sama Threat Actor yang pepes website ini, apa mungkin ini Anak UIN yang lagi mau Show Off ? Atas dasar penasaran itulah akhirnya gw mutusin untuk cari info lebih jauh lewat Open Source Intelligence.

Buat yang mungkin baru denger kata Open Source Intelligence, mungkin bisa cari di Google dulu informasi terkait hal itu. Intinya sih Open Source Intelligence itu semacam metode pencarian dan analisis data yang asalnya dari Sumber Terbuka Kek Internet, Majalah, Koran, dsb yang nantinya diolah buat tujuan dapetin informasi yang diinginin.

Udah jadi hal umum lah kalau Defacer itu bagian dari Script Kiddie, tujuan orang deface itu ya biasanya untuk Hacktivism ataupun mau dapetin Fame. Gw sih respek sama orang yang Deface for Hacktivism, tapi untuk yang Deface buat dapetin Fame itu kastanya paling bawah di dunia underground sih, kek gada kerjaan hapus source code orang trus ubah indexnya jadi “Hacked by blablabla” atau nulis “Thanks to Hacker Tersakiti Team” yaampun what a waste banget sih ngeliatnya. Kalau mau jadi Blackhat ya jadi jangan setengah setengah dong, mungkin advice dari gw kalo mau ngehek lagi jangan lupa untuk Dump database nya, atau ransom sistem nya. Seriously lu cuma ngubah Index gak hasilin duit cuy, capek doang ngehek tapi gak dapet apa-apa kecuali Ilusi Fame yang cuma orang sirkel lu doang yang tau.

Singkat cerita, setelah dikasih tau temen terkait hal tersebut gw pun langsung buka website nya buat mastiin sendiri apakah bener websitenya di deface atau nggak.

tampilan https://account.wiseid.com yang gw liat sendiri, archive: https://web.archive.org/save/https://account.wiseid.com/

Gw liat dari halaman index dari subdomain my account nya tampilannya udah di Deface by IHARBY.15 , dibagian atasnya ada logo Anonymous dengan tulisan Anonsec Team, ada bagian kontak yang ada Google mail albarragans9786@gmail.com dan Instagram dengan username al.barra_15 serta dia mention beberapa temen gengnya dibawah.

Instagram Threat Actor

Script deface kek gini udah 100% kemungkinan kalau Threat Actor itu afiliasi dari suatu organisasi Defacer tertentu Ada kemungkinan kalau Anonsec Team itu nama organisasinya dan nama nama dibawah tuh nama temen organisasinya. Informasi yang didapet dari halaman deface ini masih terbatas, selanjutnya kita coba cari informasi dari sisi Script nya.

Ada yang menarik dari script Deface ini, kalau diliat dari Meta HTML nya kita bisa liat kalau dia mention nama Astrid Kurnia , Web Icon Indonesia dan beberapa web gratisan seperti blogspot.com serta 000webhostapp. Astrid Kurnia itu merupakan nama orang Indonesia dan Web Icon Indonesia pada script tersebut jadi petunjuk kalau Threat Actornya adalah orang Indonesia

Makin Semangat dong Gweh buat cari tau nya wkwk. Setelah itu kita bisa mulai profiling dari Threat Actor ini dari behaviour yang biasa dilakuin para defacer, yaitu kita liat histornya di Defacement Mirroring Site, Situs macam Zone-H atau Defacer.id itu mereka pikir macam leaderboard biar bisa dapetin fame dari defacing website, makin tinggi peringkatnya makin keren, padahal mereka gak tau bagi Threat Intel & Blue Team Analyst ini bisa dipake buat bahan profiling threat actor 🙂

Pencarian Awal gw lakuin dengan nyari defacer atas nama IHARBY.15, baik Defacement Mirror Site & Google Dorking gak ketemu informasi yang signifikan. selanjutnya dicari dari nama tim yang ada di Script Deface itu, yaitu Anonsec Team, namun ada yang janggal disini yaitu kalau kita liat dari notifier di Zone-H ataupun Defacer.id, script yang digunakan Anonsec Team beda jauh dengan script yang dipake Threat Actor. Hal ini nggak sesuai dengan behavior dari Komunitas tukang pepes pada umumnya khususnya komunitas tukang pepes Indonesia dimana biasanya mereka tuh pake satu script yang sama untuk buat semua anggota komunitasnya.

Script AnonSec Team

Selain itu nama yang di mention di script AnonSec Team beda jauh sama nama yang di mention Threat Actor tersebut, Akan gak relevan kalau misalkan IHARBY.15 adalah member dari AnonSec Team apabila nama yang dimention di Script Deface nya nggak mention nama nama temenya di AnonSec Team, karena kebiasaan Defacer itu mention nama temen-temennya yang udah berjasa ngasih dia pelajaran ngehek, akhirnya dari sini muncul kesimpulan sementara kalau IHARBY.15 ini bukan bagian dari AnonSec Team.

Selanjutnya kita analisa dari nama-nama yang dimention Threat Actor tersebut di Scriptnya, dari semua nama tersebut memiliki Suffix yang sama yait 4TX, dan dibagian akhir ditulis ALL MEMBER BL4CK.4TX. Berdasarkan hal tersebut maka kemungkinan besar kalau BL4CK.4TX ini merupakan nama Team asli si Threat Actor tersebut.

Nama yang Di Mention Threat Actor

Tapi apa sih BL4CK.4TX ini ? setelah melakukan pencarian dengan Google dork, Zone-H, dan Defacer.id diketahui kalau BL4CK.4TX ini tim Defacer yang berasal dari Indonesia, atas nama Black Security. dan Black Security ini biasa mirroring di Defacer.id

Setelah melakukan pencarian dengan Google Dorking lagi, akhirnya ketemu script yang sama persis.

tokosaya.my.id archive: https://web.archive.org/web/20220324230934/https://tokosaya.my.id/

Namun yang berbeda disini adalah informasi terkait emailnya yaitu muwwahid98@gmail.com beserta instagram team nya dan gambar pada tampilan deface yang berbeda.

Recap Informasi yang didapat:

Threat Actor: IHARBY.15

Affiliated Team: ./ARDIYANX.4TX ./ IRHARBY.15 ./ NOLEP.4TX ./ MUGHY.4TX ./ UDIN.4TX ./ DOZKY.4TX ./ RIDO.4TX ./ NICK.4TX ./ ONEECHAN.4TX ./ LOCALHOST.4TX

Email: albarragans9786@gmail.com, muwwahid98@gmail.com

Instagram: al.barra_15 , bl4ck.4tx

Dari Informasi tersebut kita lakukan pencarian dengan Ghunt

Email Threat Actor yang beralamat di albarragans9786@gmail.com Memiliki Nama Nashir Muwwahid. mirip dengan email muwwahid98@gmail.com yang mendeface situs tokosaya.my.id.

Channel Youtube:

Maps (Kemungkinan Besar Tinggal di Bekasi):

Instagram

Fun Fact:

Munashir Muwwahid bukan nama sebenarnya, melainkan nama alter. baru ketahuan ketika video IGTV di Instagram kelihatan di notepad catatan terkait perkenalan diri, disitu tertulis kalau namanya Al Barro. Kalau misalkan pelafalannya di translasi ke Indonesia bisa juga disebut Al Barra, sesuai dengan akun IG Threat Actor yang disematkan di Script Deface WiseID.

Snapshot salah satu IGTV Munashir Muwwahid.
Instagram Threat Actor

Terkait “System DZ” itu kemungkinan merujuk pada Organisasi “Team System DZ” yang merupakan kelompok defacer Pro ISIS pada zaman dulu, beberapa beritanya pernah diliput di vice.com https://www.vice.com/en/topic/team-system-dz

Jika mencari pencarian nama terkait Al Bara di Instagram Munashir Muwwahid, bsecure.id (Black Security), maka akan ada keterkaitan dengan akun ini.