. . .

Department of Homeland Security merilis dokumen yang mendeskripsikan serangan malware atas perusahaan-perusahaan listrik Ukraina pada tanggal 23 Desember 2015 lalu yang mengganggu suplai listrik atas banyak konsumen di Ukraina. Dokumen tersebut diterbitkan oleh ICS-CERTS (Industrial Control Systems Cyber Emergency Response Team). Malware BlackEnergy (BE) terdeteksi dalam jaringan komputer perusahaan-perusahaan tersebut, meski demikian belum diketahui sejauh apa peranan malware BE dalam serangan cyber tersebut.

Serangan malware

Gangguan suplai listrik terjadi pada tanggal 23 Desember 2015 disebabkan oleh penyerang eksternal, lebih spesifik lagi remote cyber intrusion atas 3 perusahaan distribusi listrik yang berdampak pada 225 ribu pelanggan. Serangan ini dilaporkan tersinkronisasi dan terkoordinasi satu sama lain atas perusahaan-perusahaan yangn menjadi target, dan setiap kejadian memiliki selisih waktu 30 menit. Setiap serangan dikendalikan oleh penyerang yang berbeda-beda menggunakan perangkat remote administration ataupun remote industrial control system (ICS) yang berjalan di dalam virtual private network (VPN). Perusahaan-perusahaan tersebut meyakini bahwa penyerang telah memiliki akses masuk sebelum serangan terjadi.

Tiga perusahaan melaporkan bahwa penyerang menghapus beberapa sistem milik mereka menggunakan malware KillDisk yang menghapus beberapa file dalam sistem dan merusak master boot record yang menyebabkan sistem tidak dapat diakses. Lebih lanjut lagi, setidaknya sebuah human machine interface berbasis Windows juga dirusak oleh KillDisk. Selain itu, beberapa peralatan Serial-to-Ethernet juga mengalami kerusakan firmware, termasuk pula uninterruptable power supply (UPS) beberapa server mengalami serangan menggunakan UPS remote management interface.

Setiap perusahaan juga melaporkan bahwa mereka terdampak malware BlackEnergy, meskipun belum diketahui peranan BE dalam serangan tersebut. Malware ini disusupkan melalui email phishing menggunakan attachment dokumen Microsoft Office yang disertakan di dalam email. Dicurigai BE menjadi titik masuk untuk memperoleh hak akses bagi para penyerang.

Mitigasi

Terdapat beberapa saran dari ICS-CERT untuk mengatasi serangan ini. Pertama adalah dengan mengaplikasikan information resources management best practice, di antaranya pengadaan dan lisensi perangkat keras dan perangkat lunak terpercaya, menggunakan software otomasi manajemen aset, patching dan pembaruan sistem tepat waktu. Selain itu, juga diperlukan rencana contingency apabila terjadi pembobolan ICS. Application Whitelisting (AWL) dapat digunakan untuk mendeteksi dan mencegah eksekusi malware yang dikirim oleh penyerang. AWL dapat diterapkan dalam server database dan HMI.

Jaringan ICS juga harus dipisahkan dari jaringan lain, terutama Internet. Port-port tidak terpakai juga harus ditutup, semua services yang tidak digunakan juga harus dimatikan. Sementara itu, Remote Access harus dibatasi sebisa mungkin. Backdoor atas sistem kontrol juga harus diawasi dengan baik untuk mencegah penyalahgunaan oleh penyerang. Teknologi firewall harus dipasang dengan baik untuk melindungi infrastruktur informasi.

 

Sumber gambar: glitch.news

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.