Malware ICS Baru yang Berbahaya Menargetkan Organisasi di Rusia dan Ukraina

Dua alat malware berbahaya yang ditargetkan pada lingkungan sistem kontrol industri (ICS) dan teknologi operasi (OT) di Eropa adalah manifestasi terbaru dari dampak dunia maya akibat perang di Ukraina.

Salah satu alat yang diberi nama “Kapeka,” tampaknya terkait dengan Sandworm, aktor ancaman produktif yang didukung negara Rusia yang oleh kelompok keamanan Google Mandiant minggu ini digambarkan sebagai ancaman negara tersebut. unit serangan siber utama di Ukraina. Peneliti keamanan dari WithSecure yang berbasis di Finlandia melihat pintu belakang yang muncul dalam serangan tahun 2023 terhadap perusahaan logistik Estonia dan target lain di Eropa Timur dan menganggapnya sebagai ancaman aktif dan berkelanjutan.

Malware yang Merusak

Malware lainnya — dijuluki dengan warna-warni Fuxnet — adalah alat yang kemungkinan digunakan oleh kelompok ancaman Blackjack yang didukung pemerintah Ukraina dalam serangan destruktif baru-baru ini terhadap Moskollector, sebuah perusahaan yang mengelola jaringan besar sensor untuk memantau sistem pembuangan limbah Moskow. Para penyerang menggunakan Fuxnet untuk berhasil memblokir apa yang mereka klaim sebagai total 1,700 gerbang sensor di jaringan Moskollector dan dalam prosesnya menonaktifkan sekitar 87,000 sensor yang terhubung ke gerbang tersebut.

“Fungsi utama dari malware Fuxnet ICS adalah merusak dan memblokir akses ke gateway sensor, dan mencoba merusak sensor fisik juga,” kata Sharon Brizinov, direktur penelitian kerentanan di perusahaan keamanan ICS Claroty, yang baru-baru ini menyelidiki serangan Blackjack. Akibat serangan tersebut, Moskollector kemungkinan harus menjangkau ribuan perangkat yang terkena dampak secara fisik dan menggantinya satu per satu, kata Brizinov. “Untuk memulihkan kemampuan [Moskollector] dalam memantau dan mengoperasikan sistem pembuangan limbah di seluruh Moskow, mereka perlu mengadakan dan mengatur ulang seluruh sistem.”

Kapeka dan Fuxnet adalah contoh dampak dunia maya yang lebih luas akibat konflik antara Rusia dan Ukraina. Sejak perang antara kedua negara dimulai pada bulan Februari 2022 – dan bahkan jauh sebelum itu – kelompok peretas dari kedua belah pihak mengembangkan dan menggunakan serangkaian alat malware untuk melawan satu sama lain. Banyak alat, termasuk wiper dan ransomware, bersifat merusak atau mengganggu dan terutama menargetkan infrastruktur penting, ICS, dan lingkungan PL di kedua negara.

Namun dalam beberapa kesempatan, serangan yang melibatkan alat dipicu oleh konflik berkepanjangan antara kedua negara mempengaruhi kelompok korban yang lebih luas. Contoh yang paling menonjol adalah NotPetya, sebuah alat malware yang awalnya dikembangkan oleh kelompok Sandworm untuk digunakan di Ukraina, namun akhirnya berdampak pada puluhan ribu sistem di seluruh dunia pada tahun 2017. Pada tahun 2023, NotPetya Pusat Keamanan Siber Nasional Inggris (NCSC) dan Badan Keamanan Nasional AS (NSA) memperingatkan perangkat malware Sandworm yang dijuluki “Infamous Chisel” yang merupakan ancaman bagi pengguna Android di mana pun.

Kapeka: Pengganti Cacing Pasir untuk GreyEnergy?

Menurut WithSecure, Kapeka adalah pintu belakang baru yang dapat digunakan penyerang sebagai alat tahap awal dan memungkinkan persistensi jangka panjang pada sistem korban. Malware tersebut menyertakan komponen penetes untuk menjatuhkan pintu belakang pada mesin target dan kemudian menghapusnya sendiri. “Kapeka mendukung semua fungsi dasar yang memungkinkannya beroperasi sebagai pintu belakang yang fleksibel di wilayah korban,” kata Mohammad Kazem Hassan Nejad, peneliti di WithSecure.

Kemampuannya mencakup membaca dan menulis file dari dan ke disk, menjalankan perintah shell, dan meluncurkan muatan dan proses berbahaya termasuk biner yang hidup di luar daratan. “Setelah mendapatkan akses awal, operator Kapeka dapat memanfaatkan pintu belakang untuk melakukan berbagai macam tugas pada mesin korban, seperti menemukan, menyebarkan malware tambahan, dan melakukan tahap serangan selanjutnya,” kata Nejad.

Menurut Nejad, WithSecure dapat menemukan bukti yang menunjukkan adanya hubungan dengan Sandworm dan kelompoknya Malware GreyEnergy digunakan dalam serangan terhadap jaringan listrik Ukraina pada tahun 2018. “Kami yakin Kapeka mungkin merupakan pengganti GreyEnergy di gudang senjata Sandworm,” catat Nejad. Meskipun kedua sampel malware tersebut tidak berasal dari kode sumber yang sama, ada beberapa konseptual yang tumpang tindih antara Kapeka dan GreyEnergy, sama seperti ada beberapa tumpang tindih antara GreyEnergy dan pendahulunya, BlackEnergy. “Hal ini menunjukkan bahwa Sandworm mungkin telah meningkatkan persenjataan mereka dengan peralatan baru seiring berjalannya waktu untuk beradaptasi dengan lanskap ancaman yang terus berubah,” kata Nejad.

Fuxnet: Alat untuk Mengganggu dan Menghancurkan

Sementara itu, Brizinov dari Clarity mengidentifikasi Fuxnet sebagai malware ICS yang dimaksudkan untuk menyebabkan kerusakan pada peralatan sensor tertentu buatan Rusia. Malware ini dimaksudkan untuk diterapkan pada gateway yang memantau dan mengumpulkan data dari sensor fisik untuk alarm kebakaran, pemantauan gas, penerangan, dan kasus penggunaan serupa.

“Setelah malware ini disebarkan, ia akan memblokir gateway dengan menimpa chip NAND-nya dan menonaktifkan kemampuan akses jarak jauh eksternal, sehingga mencegah operator mengendalikan perangkat dari jarak jauh,” kata Brizinov.  

Modul terpisah kemudian mencoba membanjiri sensor fisik itu sendiri dengan lalu lintas M-Bus yang tidak berguna. M-Bus adalah protokol komunikasi Eropa untuk membaca meteran gas, air, listrik, dan lainnya dari jarak jauh. “Salah satu tujuan utama malware Fuxnet ICS Blackjack [adalah] untuk menyerang dan menghancurkan sensor fisik itu sendiri setelah mendapatkan akses ke gerbang sensor,” kata Brizinov. Untuk melakukannya, Blackjack memilih untuk mengaburkan sensor dengan mengirimkan paket M-Bus dalam jumlah tak terbatas. “Intinya, BlackJack berharap bahwa dengan mengirimkan paket M-Bus secara acak ke sensor tanpa henti, paket tersebut akan membuat mereka kewalahan dan berpotensi memicu kerentanan yang akan merusak sensor dan menempatkannya dalam kondisi tidak dapat dioperasikan,” katanya.

Hal utama yang dapat diambil oleh organisasi dari serangan semacam ini adalah dengan memperhatikan dasar-dasar keamanan. Blackjack, misalnya, tampaknya telah memperoleh akses root ke gerbang sensor target dengan menyalahgunakan kredensial lemah pada perangkat. Serangan ini menyoroti mengapa “penting untuk menegakkan kebijakan kata sandi yang baik, memastikan perangkat tidak berbagi kredensial yang sama atau menggunakan kredensial default,” katanya. “Penting juga untuk menerapkan sanitasi dan segmentasi jaringan yang baik, memastikan penyerang tidak dapat bergerak ke samping di dalam jaringan, dan menyebarkan malware mereka ke semua perangkat edge.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/ics-ot-security/dangerous-new-ics-malware-targets-orgs-in-russia-and-ukraine