Digali: CosmicEnergy, malware yang menyebabkan gangguan daya ala Kremlin

Gambar Getty

Para peneliti telah menemukan malware yang dirancang untuk mengganggu transmisi tenaga listrik dan mungkin telah digunakan oleh pemerintah Rusia dalam latihan untuk membuat atau merespons serangan siber di jaringan listrik.

Dikenal sebagai CosmicEnergy, malware tersebut memiliki kemampuan yang sebanding dengan yang ditemukan pada malware yang dikenal sebagai Industroyer dan Industroyer2, keduanya telah banyak dikaitkan oleh para peneliti dengan Sandworm, nama salah satu kelompok peretas paling terampil dan kejam di Kremlin. Sandworm mengerahkan Industroyer pada Desember 2016 untuk memicu pemadaman listrik di Kyiv, Ukraina, yang menyebabkan sebagian besar kota tanpa listrik selama satu jam. Serangan itu terjadi hampir setahun setelah yang sebelumnya mengganggu aliran listrik untuk 225.000 warga Ukraina selama enam jam. Industroyer2 terungkap tahun lalu dan diyakini telah digunakan dalam serangan ketiga di jaringan listrik Ukraina, tetapi terdeteksi dan dihentikan sebelum berhasil.

Serangan tersebut menggambarkan kerentanan infrastruktur tenaga listrik dan meningkatnya keterampilan Rusia dalam mengeksploitasinya. Serangan pada tahun 2015 menggunakan malware repurposed yang dikenal sebagai BlackEnergy. Sementara BlackEnergy3 yang dihasilkan memungkinkan Sandworm untuk berhasil membobol jaringan perusahaan perusahaan listrik Ukraina dan lebih lanjut melanggar kontrol pengawasan dan sistem akuisisi knowledge mereka, malware tidak memiliki sarana untuk berinteraksi dengan teknologi operasional, atau peralatan OT, secara langsung.

Serangan 2016 lebih canggih. Itu menggunakan Industroyer, malware yang ditulis dari awal yang dirancang untuk meretas sistem jaringan listrik. Industroyer terkenal karena penguasaan proses industri misterius yang digunakan oleh operator jaringan Ukraina. Industroyer secara alami berkomunikasi dengan sistem tersebut untuk menginstruksikan mereka untuk menonaktifkan dan kemudian mengaktifkan kembali jalur gardu induk. Seperti yang dilaporkan reporter WIRED Andy Greenberg:

Industroyer mampu mengirimkan perintah ke pemutus sirkuit menggunakan salah satu dari empat protokol sistem kontrol industri, dan memungkinkan komponen kode modular untuk protokol tersebut ditukar sehingga malware dapat digunakan kembali untuk menargetkan utilitas yang berbeda. Malware juga menyertakan komponen untuk menonaktifkan perangkat keselamatan yang dikenal sebagai relai pelindung — yang secara otomatis memutus aliran daya jika mendeteksi kondisi listrik yang berbahaya — fitur yang tampaknya dirancang untuk menyebabkan kerusakan fisik yang berpotensi menimbulkan bencana pada peralatan stasiun transmisi yang ditargetkan ketika operator Ukrenergo menyalakan kembali listrik.

Industroyer2 berisi pembaruan untuk Industroyer. Meskipun pada akhirnya gagal, penggunaannya dalam percobaan serangan ketiga mengisyaratkan bahwa ambisi Kremlin untuk meretas infrastruktur tenaga listrik Ukraina tetap menjadi prioritas utama.

Mengingat sejarahnya, deteksi malware baru yang dirancang untuk menyebabkan gangguan daya yang meluas menjadi perhatian dan minat orang-orang yang bertugas mempertahankan jaringan. Kekhawatiran semakin meningkat ketika malware tersebut memiliki potensi hubungan dengan Kremlin.

Peneliti dari Mandiant, firma keamanan yang menemukan CosmicEnergy, menulis:

COSMICENERGY adalah contoh terbaru malware OT khusus yang mampu menyebabkan dampak fisik dunia maya, yang jarang ditemukan atau diungkapkan. Apa yang membuat COSMICENERGY unik adalah bahwa berdasarkan analisis kami, kontraktor mungkin telah mengembangkannya sebagai alat tim merah untuk simulasi latihan gangguan daya yang diselenggarakan oleh Rostelecom-Photo voltaic, sebuah perusahaan keamanan siber Rusia. Analisis malware dan fungsinya mengungkapkan bahwa kemampuannya sebanding dengan yang digunakan dalam insiden sebelumnya dan malware, seperti INDUSTROYER Dan INDUSTROYER.V2yang merupakan varian malware yang digunakan di masa lalu untuk memengaruhi transmisi dan distribusi listrik melalui IEC-104.

Penemuan COSMICENERGY mengilustrasikan bahwa hambatan masuk untuk mengembangkan kemampuan OT ofensif semakin berkurang karena para pelaku memanfaatkan pengetahuan dari serangan sebelumnya untuk mengembangkan malware baru. Mengingat pelaku ancaman menggunakan alat tim merah dan kerangka kerja eksploitasi publik untuk aktivitas ancaman yang ditargetkan di alam liar, kami yakin COSMICENERGY merupakan ancaman yang masuk akal terhadap aset jaringan listrik yang terpengaruh. Pemilik aset OT yang memanfaatkan perangkat yang sesuai dengan IEC-104 harus mengambil tindakan untuk mengantisipasi potensi penyebaran liar COSMICENERGY.

Saat ini, tautan tersebut bersifat tidak langsung dan terutama terbatas pada komentar yang ditemukan dalam kode yang menunjukkan bahwa tautan tersebut berfungsi dengan perangkat lunak yang dirancang untuk latihan yang disponsori oleh Kremlin. Konsisten dengan teori bahwa CosmicEnergy digunakan dalam apa yang disebut latihan Tim Merah yang mensimulasikan peretasan yang tidak bersahabat, malware tidak memiliki kemampuan untuk menggali ke dalam jaringan untuk mendapatkan informasi lingkungan yang diperlukan untuk melakukan serangan. Malware mencakup alamat objek informasi yang di-hardcode yang biasanya terkait dengan sakelar saluran listrik atau pemutus sirkuit, tetapi pemetaan tersebut harus disesuaikan untuk serangan tertentu karena berbeda dari produsen ke produsen.

“Untuk alasan ini, tindakan tertentu yang dimaksudkan oleh pelaku tidak jelas tanpa pengetahuan lebih lanjut tentang aset yang ditargetkan,” tulis para peneliti Mandiant.