6 Malware Industrial Control System (ICS) Paling Berbahaya

Upaya baru-baru ini oleh kelompok peretas Sandworm Rusia yang mengganggu operasi perusahaan listrik di Ukraina sekali lagi menarik perhatian karena koleksi alat yang digunakan dirancang khusus untuk mengganggu industrial control system.

Dalam serangan itu, Sandworm menggunakan versi terbaru dari malware yang dijuluki Industroyer yang dapat memanipulasi peralatan di gardu induk untuk memicu pemadaman listrik. Tim tanggap darurat komputer Ukraina (CERT-UA) menggagalkan serangan itu sebelum kerusakan terjadi. Dari sini pelaku jelas ingin menonaktifkan gardu listrik tegangan tinggi dan elemen infrastruktur lainnya di fasilitas yang ditargetkan.

Industroyer adalah salah satu dari segelintir alat yang sangat canggih yang telah ditemukan oleh peneliti keamanan dalam beberapa tahun terakhir yang dirancang untuk memberi pelaku akses ke sistem yang mengendalikan peralatan operasional di fasilitas listrik, perusahaan minyak dan gas, dan infrastruktur penting lainnya.

Tidak seperti malware lain, yang sering memiliki kesamaan dalam fitur dan fungsi, malware khusus ICS cenderung sangat disesuaikan untuk lingkungan yang ditargetkan. Stuxnet, salah satu contoh malware pertama yang diketahui publik dirancang untuk menyebabkan kerusakan fisik pada sistem, dioptimalkan untuk merusak peralatan di fasilitas pengayaan uranium Iran di Natanz. Versi Industroyer yang digunakan dalam serangan yang baru-baru ini digagalkan di Ukraina telah disesuaikan untuk mengganggu sistem tertentu di fasilitas yang ditargetkan.

Berikut adalah enam malware yang dirancang khusus untuk menyerang lingkungan ICS.

Baca juga: Serangan ICS/SCADA Ancam Sektor Energi dan Industri

Stuxnet

Stuxnet adalah yang pertama dikenal publik, sebuah malware yang dirancang secara sempit untuk mengganggu lingkungan Industrial Control System tertentu. Cacing tersebut menarik perhatian luas pada tahun 2010 ketika ditemukan bahwa itu digunakan dalam serangan yang secara fisik menghancurkan fasilitas pengayaan uranium Iran di Natanz. Serangan itu diperkirakan terjadi beberapa tahun sebelum penemuannya pada 2010, dan banyak yang percaya itu adalah bagian dari upaya AS untuk menurunkan kemampuan nuklir Iran yang sedang berkembang pada saat itu.

Tidak seperti ancaman ICS modern, yang dapat digunakan dari jarak jauh, Stuxnet melakukan perjalanan dengan stik USB dan menyebar melalui sistem Windows. Malware tersebut mencari pengontrol logika terprogram Siemens yang digunakan untuk memantau peralatan elektro-mekanis di fasilitas pengayaan uranium Iran. Ketika Stuxnet menemukannya, malware mengirimkan instruksi berbahaya yang pada dasarnya menyebabkan peralatan lepas kendali meskipun terus mengirimkan informasi palsu tentang statusnya kembali ke PLC.

Triton/Trisis

Triton/Trisis adalah malware yang digunakan dalam serangan yang ditargetkan pada kilang minyak Arab Saudi pada tahun 2017. Malware tersebut menargetkan beberapa model Triconex, Safety Instrumentation System (SIS) dari Schneider Electric, yang digunakan kilang minyak untuk memantau critical burn management dan sulfur recovery systems di pabrik. Jika malware berfungsi sebagaimana mestinya, malware tersebut berpotensi memicu ledakan dan pelepasan gas berbahaya di fasilitas tersebut. Namun ternyata, kontrol keamanan pada perangkat Schneider Electric SIS melihat upaya pelaku ancaman untuk menginstal malware dan memicu penghentian otomatis seluruh kilang pada dua kesempatan terpisah.

Triton/Trisis dirancang semata-mata untuk memanfaatkan Safety Instrumentation System Schneider di kilang minyak. Meskipun pada saat itu malware tersebut tidak menimbulkan ancaman bagi lingkungan pelanggan Schneider Electric lainnya. Namun, vendor keamanan menilai bahwa taktik, teknik, dan prosedur yang digunakan aktor ancaman dalam serangan itu akan direplikasi oleh orang lain.

Malware memiliki banyak kemampuan termasuk membaca dan menulis program dan fungsi individu dan menanyakan status pengontrol Schneider SIS; mengirimkan perintah khusus seperti “halt” ke pengontrol; dan memprogram ulang mereka dari jarak jauh dengan muatan berbahaya.

Baca juga: Ransomware Aktif Serang Industrial Control System

PipeDream

Incontroller/PipeDream adalah ancaman malware khusus ICS yang paling baru ditemukan. Cybersecurity and Infrastructure Security Agency (CISA) dan lainnya telah mengidentifikasi malware sebagai ancaman yang sangat besar bagi perusahaan di sektor energi, seperti penyedia gas alam cair dan tenaga listrik.

Incontroller/PipeDream terdiri dari tiga alat malware yang dirancang untuk menargetkan pengontrol logika yang dapat diprogram (PLC) dari Schneider Electric dan Omron dan server apa pun berdasarkan Open Platform Communications Unified Architecture (OPC UA). Pelaku dapat menggunakan malware untuk melakukan pengintaian pada lingkungan industri target dan untuk memanipulasi PLC dengan cara yang dapat mengakibatkan gangguan pabrik, kegagalan keselamatan, dan kerusakan fisik yang berpotensi menimbulkan bencana.

Incontroller /PipeDream tidak mengeksploitasi kerentanan apa pun untuk membahayakan sistem target. Sebaliknya, ia berkomunikasi dan berinteraksi dengan PLC menggunakan Modbus dan Codesys, dua protokol industri yang umum. Kemampuan malware untuk memanfaatkan fungsionalitas asli membuatnya sulit dikenali di lingkungan industri, berdasar penelusuran diduga malware tersebut kemungkinan berasal dari kelompok ancaman yang berbasis di Rusia yang disebutnya Chernovite.

Tiga komponen utama Incontroller/PipeDream adalah alat untuk memindai dan mengumpulkan data dari lingkungan OPC; kerangka kerja yang dapat mengidentifikasi dan berinteraksi dengan Schneider dan PLC berbasis Modbus lainnya melalui Modbus dan Codesys; dan alat yang dirancang khusus untuk menyerang perangkat Omron melalui HTTP dan Telnet. Mandiant melacak tiga ancaman sebagai Tagrun, Codecall, dan Omshell.

Industroyer

Industroyer diyakini sebagai contoh malware pertama yang diketahui hanya menargetkan jaringan listrik. Peneliti keamanan ESET pertama kali mengamati malware yang dikerahkan dalam serangan Desember 2016 di jaringan listrik Ukraina yang mengakibatkan pemadaman listrik selama satu jam di beberapa bagian Kyiv. Beberapa vendor telah mengaitkan malware tersebut dengan Sandworm, kelompok ancaman yang berbasis di Rusia.

Salah satu fitur penting dari malware adalah fakta bahwa ia tidak menargetkan teknologi tertentu atau mengeksploitasi kerentanan apa pun. Sebaliknya, ia menggunakan protokol komunikasi ICS asli untuk berinteraksi dengan sistem industri dan mengeluarkan perintah jahat kepada mereka dengan cara yang tidak akan memicu peringatan apa pun.

Analisis malware oleh perusahaan seperti ESET telah menunjukkan bahwa malware itu terdiri dari empat komponen muatan yang bekerja secara bertahap untuk pertama memetakan lingkungan target dan untuk mencari tahu perintah apa yang digunakan untuk mendapatkan kontrol sakelar dan pemutus sirkuit dalam tegangan tinggi. gardu induk. Vendor keamanan telah menggambarkan malware sebagai memberikan pelaku cara untuk memanipulasi mereka untuk menghilangkan tenaga gardu atau untuk memicu kondisi operasi yang akan menyebabkan gardu untuk memutuskan dirinya sendiri dari jaringan lainnya sebagai tindakan pencegahan.

Awal bulan ini, Tim Tanggap Darurat Komputer Ukraina (CERT-UA) menggagalkan upaya Sandworm lain untuk mengganggu jaringan listrik, kali ini menggunakan versi Industroyer yang baru dan lebih disesuaikan yang menampilkan hanya satu dari empat muatan yang terdapat dalam versi aslinya.

Industroyer, Industroyer2, dan Incontroller dirancang sedemikian rupa sehingga membuatnya layak untuk digunakan dalam skenario serangan yang berbeda. “Mereka dapat dikerahkan terhadap lebih dari satu korban karena mereka memiliki beberapa kemampuan untuk menyesuaikan serangan dalam batas-batas tertentu – seperti protokol komunikasi yang mereka gunakan,” kata Kapellmann Zafra dari Mandiant.

Baca juga: GreyEnergy Mengancam Peringatan Keras untuk Dunia Industri

BlackEnergy

BlackEnergy adalah malware yang awalnya digunakan dalam serangan Distributed Denial of Service dan untuk mengunduh spam dan malware. Malware ini terkenal karena perannya dalam serangan siber pada Desember 2015 terhadap perusahaan listrik Ukraina Prykarpattya Oblenerg yang melumpuhkan 30 gardu induk dan memicu pemadaman listrik selama enam jam yang melanda sekitar 100 kota. Para peneliti telah mengaitkan serangan itu dengan kelompok penjahat dunia maya Sandworm Rusia.

Serangan itu melibatkan aktor ancaman yang mendapatkan akses ke mesin Human Machine Interface (HMI) berbasis Windows di perusahaan listrik dan pada dasarnya menggunakannya untuk memanipulasi pemutus sirkuit dengan cara memicu pemadaman listrik. Para peneliti yang menganalisis serangan tersebut menemukan bukti BlackEnergy dan penghapus yang disebut KillDisk pada jaringan perusahaan listrik yang disusupi. Masih ada beberapa pertanyaan tentang peran yang dimainkan BlackEnergy dalam memicu pemadaman atau bahkan jika dimainkan sama sekali.

Tetapi fakta bahwa itu adalah bagian dari rantai serangan Sandworm dan fakta bahwa BlackEnergy digunakan dalam serangan berikutnya terhadap perusahaan pertambangan dan operator kereta api Ukraina menjadikannya ancaman bagi lingkungan Industry Control System di mana-mana. Cybersecurity and Infrastructure Security Agency (CISA) mengatakan analisisnya menunjukkan bahwa serangan yang melibatkan BlackEnergy pada lingkungan ICS di AS dan di tempat lain telah terjadi setidaknya sejak 2011. CISA mengidentifikasi produk HMI dari beberapa vendor yang menjadi sasaran BlackEnergy termasuk Siemens , GE, dan Advantech/Broadwin.

Havex

Havex adalah Remote Access Trojan (RAT) yang pertama kali diamati digunakan oleh kelompok APT Rusia Dragonfly (alias Energetic Bear) pada tahun 2014 terhadap sistem ICS/SCADA yang digunakan di organisasi di sektor energi. Awalnya, malware digunakan untuk mengumpulkan data dari sistem yang terinfeksi dan lingkungan di mana sistem berjalan.

Analisis menunjukkan malware dapat mengunduh dan mengeksekusi kode tambahan yang dirancang antara lain untuk menemukan dan terhubung ke server berdasarkan arsitektur Open Platform Communications (OPC) dan untuk mengumpulkan informasi yang nantinya dapat digunakan untuk mengkompromikan perangkat.

Banyak serangan awal Dragonfly yang menggunakan Havex ditargetkan pada perusahaan di sektor energi dan tampaknya merupakan upaya untuk memahami lingkungan. Kelompok tersebut mendistribusikan malware melalui email phising dan dengan mengkompromikan situs milik penyedia perangkat lunak ICS dan menanamkan kode berbahaya dalam produk mereka, yang kemudian menargetkan perusahaan yang kemudian tanpa disadari diunduh di jaringan mereka.

Pada tahun 2017, dilaporkan mengenai aktor ancaman yang menyebarkan malware dalam serangan yang dirancang untuk mendapatkan kendali penuh atas sistem operasional di perusahaan sektor energi di AS, Swiss, dan Turki. Vendor keamanan menentukan bahwa serangan tersebut telah terjadi setidaknya sejak Desember 2015, dan telah memberikan akses penuh kepada pelaku ancaman ke sistem yang mengendalikan peralatan penting di fasilitas listrik.

 

 

Baca lainnya: