Kelompok ancaman Sandworm yang terkenal yang beroperasi dari unit GRU militer Rusia tidak memiliki keraguan untuk mengejek para peneliti ketika ditemukan sedang diawasi. Tanyakan saja kepada Robert Lipovsky dan rekan penelitinya di ESET, yang mendapatkan pesan dengan jelas saat mereka membedah salah satu varian malware terbaru Sandworm awal tahun ini: Penyerang Sandworm menyamarkan pemuat untuk salah satu varian penghapusan datanya sebagai IDAPro reverse- alat teknik โ alat yang sama yang digunakan para peneliti untuk menganalisis malware penyerang.
Lipovsky, peneliti intelijen ancaman utama di ESET, tahu itu bukan kebetulan. Sandworm kemungkinan besar dengan berani โ dan dengan sarkastis โ menunjukkan bahwa kelompok itu tahu ESET sedang mengikuti jejaknya. โTidak ada alasan untuk menggunakan IDAProโ dalam serangan terhadap gardu teknik karena itu bukan alat yang akan digunakan pada sistem itu, jelasnya. โCukup jelas para penyerang menyadari sepenuhnya bahwa kami mengincar mereka dan memblokir ancaman mereka. Mereka mungkin mengerjai kita, menurutku.โ
Itu bukan satu-satunya pesan yang tampaknya dikirim oleh Sandworm. Kelompok ini juga menjatuhkan versi perangkat lunak keamanan ESET yang ditunggangi Trojan dalam menargetkan jaringan Ukraina. โMereka mengirim pesan bahwa mereka sadar kami melakukan pekerjaan kami melindungi pengguna di Ukraina,โ kata Lipovsky.
Lipovsky adalah bagian dari tim ESET yang โ bersama dengan tim tanggap darurat komputer Ukraina (CERT-UA) dan Microsoft โ pada bulan April memblokir serangan siber oleh Sandworm pada sebuah perusahaan energi di Ukraina menggunakan versi baru dari senjata malware Industroyer yang mengubah permainan, Industri2. Jika tidak digagalkan tepat waktu, serangan itu akan menghancurkan beberapa gardu tegangan tinggi dari bagian jaringan listrik negara.
Industroyer2 adalah versi yang lebih khusus dari iterasi pertama (Industroyer) yang Cacing pasir dilepaskan pada bulan Desember 2016, untuk sementara mematikan listrik di beberapa bagian Kyiv, ibu kota Ukraina. Upaya serangan Industroyer2 pada bulan April juga datang dengan alat penghapus disk yang merusak yang dirancang untuk menghancurkan workstation teknik yang menjalankan Windows, Linux, dan Solaris, dalam upaya untuk menggagalkan operasi pemulihan ketika pemadaman listrik yang direncanakan penyerang terjadi. Industroyer adalah malware pertama yang diketahui mampu mematikan lampu, dan dapat berkomunikasi dengan perangkat keras ICS di gardu listrik โ pemutus sirkuit dan relai pelindung, misalnya โ melalui protokol jaringan industri populer.
Bahkan setelah upaya serangan Industroyer2 di Ukraina digagalkan pada April lalu, Sandworm terus menyerang pertahanan siber Ukraina tanpa henti. โItu tidak berakhir dengan Industroyer2. Ini berlanjut hari ini, โkata Lipovsky, yang dengan peneliti malware senior ESET Anton Cherepanov akan berbagi pandangan orang dalam mereka Sandworm dan membedah malware Industroyer2 grup di Black Hat USA di Las Vegas bulan depan.
โAda lebih banyak wiper hari ini โฆ dan rantai eksekusi baru digunakan,โ katanya.
Sebagian besar upaya serangan saat ini oleh Sandworm terhadap infrastruktur Ukraina sekarang membawa senjata penghapus disk. โKami telah melihat aktivitas gangguan [upaya] pada tingkat yang meningkat sejak Februari,โ katanya, ketika Rusia pertama kali menginvasi Ukraina. Intel-gathering melalui serangan cyber-spionage juga telah aktif, tambahnya, mencatat bahwa meskipun Sandworm adalah aktor ancaman Rusia paling menonjol yang menargetkan Ukraina, itu bukan satu-satunya.
Industri2 Lebih Dekat
Dalam pembicaraan Black Hat mereka, Lipovsky dan Cherepanov berencana untuk mengungkapkan lebih banyak detail teknis tentang Sandworm yang belum dipublikasikan, serta berbagi rekomendasi untuk utilitas untuk bertahan melawan serangan kelompok negara-bangsa.
Lipovsky dan timnya menggambarkan Industroyer2 sebagai versi yang lebih sederhana dan lebih ramping dari versi pertama. Berbeda dengan Industroyer pertama, Industroyer2 hanya menggunakan satu protokol OT, IEC 104. Versi aslinya menggunakan empat protokol industri yang berbeda. Ini mungkin lebih efisien dan fokus seperti itu: โ[IEC 104 adalah] salah satu protokol [OT] yang paling umum dan hal regionalโ di Eropa, catatnya.
Kemampuan menghapus disk dengan Industroyer2 melampaui versi pertama. โYang pertama adalah kerangka kerja dengan banyak komponen, dan juga memanggil modul tambahan yang ada untuk dihapus,โ katanya. Industroyer2 lebih "mandiri" dan menawarkan wiper sebagai executable terpisah, katanya, senjata malware yang telah ditemukan dalam insiden cyber baru-baru ini.
CaddyWiper adalah penghapus disk utama yang digunakan dengan Industroyer2. Sandworm mengarahkan CaddyWiper ke bank Ukraina 24 jam sebelum Rusia menginvasi Ukraina pada Februari, di sebuah lembaga pemerintah pada awal April, dan pada beberapa stasiun kerja Windows di perusahaan energi Ukraina yang ditargetkan. Sandworm juga mengatur program malware destruktif ORCSHRED, SOLOSHRED, dan AWFULSHRED di workstation Linux dan Solaris di sana. Dan, sebagai sentuhan terakhir, Sandworm telah menjadwalkan CaddyWiper untuk dieksekusi pada 8 April sebagai cara untuk menghapus semua bukti Industroyer2, tetapi diblokir.
Menariknya, Sandworm biasanya tidak menghapus pengontrol domain, agar tidak mengganggu pijakannya sendiri di jaringan korban. โMereka menghapus stasiun kerja biasa untuk mengganggu operasi target, tetapi mereka ingin mempertahankan kehadiran mereka setelah mereka menyusup ke lingkungan,โ kata Lipovsky.
Bahkan dengan semua yang ESET dan peneliti lain ketahui tentang Industroyer2, masih belum ada gambaran lengkap tentang vektor serangan awal dalam serangan Industroyer2 terhadap perusahaan energi Ukraina. CERT-UA mengatakan serangan itu tampaknya terjadi dalam dua tahap, yang pertama kemungkinan pada Februari tahun ini dan yang lainnya pada April, ketika tujuannya adalah untuk memutuskan gardu listrik dan menyabot operasi listrik pada 8 April.
Pertahanan Terhadap Industri, Cacing Pasir
Sementara Industroyer2 telah dilatih di Ukraina, kemunculannya telah mengguncang industri PL. โIndustroyer adalah panggilan untuk membangunkan seluruh komunitas ICS. Ini adalah ancaman serius,โ kata Lipovsky.
Buku pedoman untuk melindungi jaringan OT dari Industroyer dan serangan terkait tidak jauh berbeda dari yang lain. โItulah yang selalu kami katakan: Memiliki visibilitas ke lingkungan; memiliki alat EDR, XDR; beberapa lapisan keamanan dalam tumpukan; dan kontrol akses,โ kata Lipovsky.
Dalam pembicaraan mereka di Black Hat Lipovsky dan Cherepanov juga akan berbagi aturan EDR, saran konfigurasi untuk menghentikan gerakan lateral, dan aturan untuk alat Snort dan YARA
Mereka juga berencana untuk menegaskan kembali bahwa workstation rekayasa di jaringan OT telah menjadi target utama, sehingga mereka harus menjadi bagian dari persamaan keamanan. โBanyak perangkat lunak dan pemantauan SCADA terjadi di stasiun kerja biasa yang menjalankan Windows atau Linux. Mesin ini harus memiliki langkah-langkah keamanan yang tepat dan solusi yang berlapis-lapis, termasuk menjalankan alat EDR atau XDR, katanya.
