Malware Berevolusi, Pertahanan Sistem ICS/SCADA Penuh Tantangan

Jumat, 14 Des 2018 | 14.00 WIB

Malware Berevolusi, Pertahanan Sistem ICS/SCADA Penuh Tantangan

ilustrasi (pixabay)


Centroone.com - Secara historis, Operational Technology (OT) jaringan benar-benar terpisah dari jaringan perusahaan. Untuk alasan bisnis, jaringan ini sekarang sering terhubung, yang meningkatkan risiko dengan membuka jalur baru bagi pelaku untuk mengakses sistem perusahaan. 

Memperkuat barikade dan mempertahankan sistem ICS dan SCADA merupakan tantangan yang tak mudah jika melihat lubang keamanan yang menganga begitu besar: Jaringan-jaringan OT penuh dengan sistem warisan dengan kerentanan yang belum di-patch yang dapat dieksploitasi. Ketakutan gangguan bisnis menunda peningkatan dan pembaruan/update. Situasi ini yang kemudian disukai oleh peretas, karena mereka fokus pada target yang hemat biaya, seperti yang belum mendapat perlindungan keamanan. 

Di sisi lain, Pemeliharaan dan pertahanan jaringan OT membutuhkan keahlian teknis khusus yang bukan bagian dari keahlian IT tradisional. Ini membuat karyawan dengan akses sistem istimewa lebih rentan terkena serangan  social engineering. Akibatnya, lingkungan ICS umumnya lambat untuk merespon perubahan tool dan taktik pelaku ancaman. 

Mereka memanfaatkan ini dengan mendaur ulang malware dan vektor serangan yang telah terbukti efektif terhadap targeted attack seperti di bidang keuangan dan Pangkalan Industri Pertahanan untuk mengeksploitasi target industri. 

Sebagai contohnya BlackEnergy, yang beberapa tahun lalu digunakan untuk menyerang target industri, dan mengeksploitasi operator sistem ICS/SCADA, disusul kemudian oleh Telebot dan yang paling terkini dan diketahui paling canggih yaitu GreyEnergy.

GreyEnergy tidak datang begitu saja, kehadirannya melalui proses panjang. Malware modern ini berdasarkan riset dari ESET masih memiliki hubungan dengan BlackEnergy yang pada tahun 2015 memadamkan pembangkit listrik milik Ukraina yang kemudian berevolusi menjadi Telebots. Kelompok Telebots berada di balik wabah ransomware Diskoder.C alias Notpetya pada tahun 2017 yang melabrak seluruh dunia dengan petaka yang merugikan banyak perusahaan besar.

Penelitian panjang ESET tidak terhenti sampai di situ, karena setelah ditelusuri lebih lanjut, Telebot ternyata juga terhubung dengan Industroyer, malware ICS/SCADA yang juga memadamkan listrik di Ukraina pada 2016. Hal ini diketahui ketika TeleBots melakukan operasi siber dengan menggunakan backdoor baru yang ESET deteksi sebagai Win32/Exaramel. 

Dari hasil analisis menunjukkan bahwa backdoor TeleBot ini adalah versi perbaikan dari backdoor Industroyer. Proses panjang ini yang kemudian menjadi sebuah intisari yang kita kenal sebagai GreyEnergy. Malware ICS/SCADA paling canggih yang didesain untuk melakukan serangan dalam skala luas.

“GreyEnergy adalah sebuah metamorfosis dari malware sederhana menjadi malware yang modern dan canggih namun juga lebih rumit. Malware yang berkembang melewati batasnya sehingga berubah menjadi ancaman multifungsi yang membawa banyak perangkat mutakhir di dalamnya” kata Yudhi Kukuh, Technical Consultant PT Prosperita – ESET Indonesia. by