Credit image: Freepix
Peretas Susupi Sistem Industri dengan Logic Bomb – Dunia pengembangan perangkat lunak menghadapi ancaman serius dari serangan rantai pasok (supply chain attack).
Baru-baru ini, teridentifikasi sembilan paket NuGet (repositori paket software untuk lingkungan .NET) berbahaya yang disusupi.
Paket-paket ini dirancang untuk menyebarkan muatan jahat yang memiliki penundaan waktu (time-delayed payloads) dengan tujuan menyabotase operasi basis data dan merusak Sistem Kontrol Industri (ICS) di masa depan.
Menurut perusahaan keamanan rantai pasok perangkat lunak, Socket, paket-paket ini diunggah pada tahun 2023 dan 2024 oleh pengguna bernama “shanhai666” dan telah diunduh sebanyak 9.488 kali secara kolektif sebelum dihapus.
Taktik Sabotase Tertunda (Logic Bomb)
Taktik yang digunakan oleh penyerang ini sangat canggih: mereka membangun kepercayaan pengembang hilir yang mengunduh paket tersebut tanpa menyadari bahwa di dalamnya tertanam logic bomb yang dijadwalkan meledak di masa depan.
|
Baca juga: Risiko Rantai Pasokan |
1. Target Sistem Kontrol Industri (ICS)
Paket yang paling berbahaya, Sharp7Extend, secara spesifik menargetkan PLC (Program Logic Controller) industri.
PLC adalah komponen penting yang mengendalikan proses kritis di lingkungan manufaktur, seperti di pabrik atau fasilitas energi.
Sharp7Extend menggunakan dua mekanisme sabotase serentak:
- Penghentian Proses Mendadak: Mengakhiri seluruh proses aplikasi secara acak (dengan probabilitas 20%) setelah tanggal pemicu dilewati.
- Kegagalan Tulis Senyap: Menyabotase operasi tulis ke PLC sebesar 80% setelah penundaan acak 30–90 menit pasca-instalasi. Kerusakan ini dapat memengaruhi sistem yang sangat penting bagi keselamatan dan operasional.
2. Penargetan Basis Data
Paket-paket lain yang terkait dengan implementasi SQL Server, PostgreSQL, dan SQLite memiliki tanggal pemicu yang berbeda dan tertunda jauh di masa depan:
- Agustus 2027: Contohnya MCDbRepository (8 Agustus 2027).
- November 2028: Contohnya SqlUnicornCoreTest dan SqlUnicornCore (29 November 2028).
Pendekatan bertingkat ini (aktivasi segera untuk ICS, penundaan untuk basis data) memberikan penyerang jendela waktu yang lebih panjang untuk mengumpulkan korban sebelum logic bomb meledak, sekaligus segera mengganggu sistem industri.
|
Baca juga: Minimalisir Risiko Serangan Rantai Pasokan |
Bagaimana Serangan Dilakukan?
Penyerang memanfaatkan fitur yang sah dari bahasa C# yang disebut Extension Methods.
- Extension methods memungkinkan pengembang menambahkan metode baru ke tipe yang sudah ada tanpa memodifikasi kode aslinya.
- Penyerang mempersenjatai fitur ini untuk mencegat operasi yang sah. Setiap kali aplikasi menjalankan kueri database atau operasi PLC, extension methods berbahaya ini otomatis tereksekusi, memeriksa tanggal saat ini terhadap tanggal pemicu yang sudah di-hardcode di dalam kode.
Menyembunyikan Jejak Kejahatan
Kelompok ini melakukan langkah ekstrem untuk menyembunyikan jejak:
- Probabilitas Eksekusi 20%: Setelah tanggal pemicu, malware hanya mengakhiri proses aplikasi dengan probabilitas 20%. Hal ini membuat serangan sistematis terlihat seperti kerusakan acak atau kegagalan perangkat keras biasa.
- Pengembang Pindah Tugas: Jendela penundaan hingga 2027–2028 memastikan bahwa pengembang yang memasang paket di tahun 2024 kemungkinan sudah pindah proyek atau perusahaan pada saat logic bomb meledak.
- Kombinasi taktik ini membuat tim respons insiden dan investigasi forensik hampir mustahil untuk melacak malware kembali ke titik perkenalannya atau mengidentifikasi siapa yang menginstal dependensi yang disusupi.
|
Baca juga: Ancaman Rantai Pasok Mengintai UMKM |
Siapa di Balik Serangan Rantai Pasok Ini?
Meskipun identitas pelaku serangan rantai pasok ini belum diketahui, analisis kode sumber dan nama pengguna “shanhai666” menunjukkan bahwa kemungkinan pelakunya adalah aktor ancaman yang berpotensi berasal dari Tiongkok.
Serangan ini menunjukkan teknik canggih yang jarang terlihat digabungkan dalam serangan rantai pasok NuGet, menekankan bahwa komunitas hacker terus meningkatkan kemampuan mereka.
Tindakan Pencegahan Wajib bagi Pengembang
Mengingat ancaman logic bomb yang tertunda, pengembang dan organisasi harus mengambil tindakan pencegahan yang serius:
- Analisis Rantai Pasok (Supply Chain): Gunakan alat keamanan yang dapat menganalisis paket yang diunduh (termasuk kode sumbernya) untuk mendeteksi malware tersembunyi, bukan hanya mengandalkan daftar hitam (blacklist).
- Audit Dependensi: Lakukan audit rutin terhadap semua dependensi pihak ketiga, terutama paket yang diunduh dari akun pengembang baru atau tidak dikenal.
- Pemantauan Runtime: Terapkan pemantauan perilaku aplikasi saat runtime untuk mendeteksi tindakan tidak normal, bahkan jika logic bomb belum dipicu.
Sumber berita:
