Malware Sality Serang ICS
Seorang penjahat dunia maya menginfeksi Industrial Control System (ICS) untuk membuat botnet melalui software “peretas” kata sandi untuk Programmable Logic Controller (PLC) menyusupkan malware Sality serang ICS.
Diiklankan di berbagai platform media sosial, alat pemulihan kata sandi ini digadang mampu untuk membuka kunci terminal PLC dan HMI (Human Machine Interface) dari Automation Direct, Omron, Siemens, Fuji Electric, Mitsubishi, LG, Vigor, Pro-Face, Allen Bradley, Weintek, ABB, dan Panasonic.
|
Baca juga: ESET Ambil Bagian dalam Operasi Penumpasan Botnet ZLoader |
Malware Sality
Peneliti keamanan menganalisis satu insiden yang memengaruhi PLC DirectLogic dari Automation Direct dan menemukan bahwa perangkat lunak “peretas” mengeksploitasi kerentanan yang diketahui di perangkat untuk mengekstrak kata sandi.
Namun di balik layar alat tersebut juga menyusupkan Sality, sebuah malware yang menciptakan botnet peer-to-peer untuk berbagai tugas yang membutuhkan kekuatan komputasi terdistribusi agar dapat diselesaikan lebih cepat (misalnya, peretasan kata sandi, penambangan cryptocurrency).
Diketahui juga bahwa eksploitasi yang digunakan oleh program jahat terbatas pada komunikasi serial saja. Namun, mereka juga menemukan cara untuk membuatnya kembali melalui Ethernet, yang meningkatkan kerusakan.
Dengan serangan yang masih berlangsung, administrator PLC dari vendor lain harus menyadari risiko menggunakan software peretas password di lingkungan ICS.
Terlepas dari seberapa sah alasan untuk menggunakannya, pengelola harus menghindari alat peretas kata sandi, terutama jika sumbernya tidak diketahui.
Malware lawas pengganda diri
Sality adalah malware lama yang terus berkembang dengan fitur yang memungkinkannya menghentikan proses, membuka koneksi ke situs jarak jauh, mengunduh muatan tambahan, atau mencuri data dari host.
Malware juga dapat menyusupkan dirinya ke dalam proses yang berjalan dan menyalahgunakan fungsi autorun Windows untuk menyalin dirinya sendiri.
Kemudian menyebar ke jaringan berbagi, drive eksternal, dan perangkat penyimpanan yang dapat dipindahkan yang dapat membawanya ke sistem lain.
Sampel yang dianalisis tampaknya difokuskan untuk mencuri cryptocurrency. Malware diketahui menambahkan muatan yang membajak konten di clipboard untuk mengalihkan transaksi cryptocurrency.
Namun, peretas yang lebih maju dapat menggunakan titik masuk ini untuk menciptakan kerusakan yang lebih serius dengan mengganggu operasi.
Dalam kasus khusus ini, korban menjadi curiga setelah menjalankan perangkat lunak berbahaya karena tingkat penggunaan CPU tumbuh hingga 100%.
|
Baca juga: Botnet TrickBot dan Emotet Menyerang Bergantian Bisnis dalam Ancaman |
Menangkal serangan ICS
Di dunia saat ini banyak sektor yang menggunakan ICS seperti pembangkit listrik, perusahaan transmisi, pengolahan minyak dan gas, pabrik, bandara sampai layanan pengiriman.
Untuk menangkal serangan yang dilakukan oleh malware Sality, ada teknologi yang mampu mendeteksi dini segala anomali yang terjadi dalam jaringan. Teknologi tersebut bernama GREYCORTEX.
GREYCORTEX merupakan Network Traffic Analyzing (NTA) atau analisis lalu lintas jaringan akan membantu dalam memantau semua kegiatan dalam jaringan.
Tidak hanya di perimeter, tetapi juga antara titik akhir dan server. Cara ini dapat mengidentifikasi sumber dari titik akhir apa pun yang bertanggung jawab atas serangan yang sedang berlangsung.
Selain itu, GREYCORTEX Mendel dapat mendeteksi datangnya serangan sejak jauh hari, dengan mampu membaca aktivitas rahasia secara detail dalam jaringan
GREYCORTEX adalah mata yang melihat segalanya, mata siber yang mengawasi setiap aktivitas dan perilaku yang terjadi di dalam jaringan.
Ini didukung oleh database yang berisi daftar hitam lebih dari 100.000 alamat IP dan lebih dari 45.000 deteksi signature aktif dalam 40 kategori yang terus diperbarui setiap saat.
|
Baca lainnya: |
Sumber:
