Departemen Kehakiman AS (DOJ) telah mendakwa empat pegawai pemerintah Rusia sehubungan dengan plot infrastruktur kritis cyber-fry di Amerika Serikat dan sekitarnya, termasuk setidaknya satu pembangkit listrik tenaga nuklir.
Kampanye ini melibatkan salah satu malware paling berbahaya yang pernah ditemui di sektor teknologi dan energi operasional: Triton, alias Trisis, malware terkait Rusia yang digunakan untuk menutup kilang minyak pada 2017 dan target Timur Tengah lainnya pada 2019.
Dua dakwaan terkait dibuka kemarin: satu dakwaan bernama Evgeny Viktorovich Gladkikh (PDF) , seorang pegawai Kementerian Pertahanan Rusia, dan satu lagi (PDF) yang menunjuk tiga perwira di Unit Militer 71330 – atau “Pusat 16” – Layanan Keamanan Federal Rusia (FSB), yang merupakan penerus KGB Rusia.
Center 16 adalah unit struktural utama FSB untuk intelijen sinyal, terdiri dari unit pusat yang bertempat di gedung administrasi tak bertanda yang tersebar di seluruh Moskow dan hutan terpencil t penutup, dengan antena parabola besar yang menunjukkan untuk mendengarkan dunia. Ini dikenal oleh peneliti keamanan siber sebagai "Capung", "Beruang Energik", dan "Merunduk Yeti."
$10M Reward for Intel on FSB Officers
Ada hadiah di kepala trio petugas FSB karena diduga meretas kilang. Departemen Luar Negeri mengatakan pada hari Kamis bahwa program Rewards for Justice (RFJ) menawarkan $ 10 juta untuk informasi tentang ketiganya, yang bernama Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov dan Marat Valeryevich Tyukov.
Para petugas itu diduga terlibat dalam penyusupan komputer, kawat penipuan, pencurian identitas yang parah dan kerusakan fasilitas energi. Penghargaan tersebut menandai pertama kalinya RFJ menunjuk seorang personel keamanan pemerintah asing di bawah tawaran penghargaan infrastruktur penting, kata Departemen Luar Negeri.
Triton/Trisis
Triton diduga digunakan dalam kampanye yang dijalankan antara Mei dan September 2017.
Para peneliti telah membandingkan penargetan Triton untuk kontrol industri sistem (ICS) ke malware yang digunakan dalam serangan DAS Stuxnet dan Industroyer/Crashoverride, yang terakhir adalah pintu belakang yang menargetkan ICS dan yang melumpuhkan jaringan listrik Ukraina di Kiev pada 2016. Pada 2018, penelitian mengungkapkan bahwa Industroyer terkait dengan wabah ransomware NotPetya besar-besaran yang melumpuhkan organisasi di seluruh dunia tahun sebelumnya.
Menurut dakwaan, antara Mei dan September 2017, Gladkikh, seorang programmer komputer berusia 36 tahun yang dipekerjakan oleh sebuah lembaga yang berafiliasi dengan Kementerian Pertahanan Rusia, terlibat dalam kampanye untuk meretas fasilitas energi global “menggunakan teknik yang dirancang untuk memungkinkan masa depan kerusakan fisik dengan potensi efek bencana.” Peretasan itu diduga menyebabkan dua penutupan darurat terpisah di fasilitas asing.
Bersama dengan rekan konspirator, Gladkikh diduga meretas sistem "kilang asing" (mungkin raksasa minyak Saudi Petro Rabigh) pada tahun 2017 dan menginstal malware Triton/Trisis pada keamanan sistem yang diproduksi oleh Schneider Electric. Triton sebenarnya mengambil namanya dari fakta bahwa ia dirancang untuk menargetkan pengontrol Triconex safety instrumented system (SIS), yang dijual oleh Schneider Electric. Triton muncul lagi pada tahun 2019, ketika digunakan lagi untuk menargetkan perusahaan yang dirahasiakan di Timur Tengah.
Triton dirancang untuk mencegah sistem keselamatan kilang berfungsi – “dengan menyebabkan ICS beroperasi dengan cara yang tidak aman sementara tampak beroperasi secara normal ,” kata DOJ – sehingga membiarkan kilang terbuka untuk merusak dan membahayakan siapa pun di sekitarnya.
“Ketika terdakwa menyebarkan malware Triton, hal itu menyebabkan kesalahan yang menyebabkan sistem keselamatan Schneider Electric kilang memulai dua penghentian darurat otomatis operasi kilang , ” kata DOJ. Antara Februari dan Juli 2018, Gladkikh dan krunya diduga meneliti dan (tidak berhasil) mencoba meretas sistem komputer yang digunakan oleh perusahaan AS dengan kilang serupa.
As outlet berita energi E&E News melaporkan pada 2019, pada sore hari tanggal 4 Agustus. 2017, dua sistem penutupan darurat dihidupkan di kilang Petro Rabigh yang luas di sepanjang pantai Laut Merah Saudi Arbia. Insinyur yang bekerja pada shift akhir pekan tidak menyadarinya, bahkan ketika sistem membuat kompleks offline "dalam upaya terakhir untuk mencegah pelepasan gas dan ledakan mematikan."
"[Mereka] tidak melihat apa pun yang luar biasa, baik di layar komputer mereka atau keluar di lantai pabrik,” menurut E&E News.
Gladkikh telah didakwa dengan tiga tuduhan: konspirasi untuk menyebabkan kerusakan pada fasilitas energi, upaya untuk merusak fasilitas energi, dan satu tuduhan konspirasi untuk melakukan penipuan komputer.
FSB Petugas' Dakwaan: Serangan Rantai Pasokan Capung
Dakwaan yang menyebutkan nama petugas FSB menuduh bahwa, antara 2012 dan 2017, Akulov, Gavrilov, Tyukov dan rekan konspirator mereka terlibat dalam intrusi komputer, termasuk serangan rantai pasokan, “sebagai kelanjutan dari upaya pemerintah Rusia untuk menjaga akses diam-diam, tidak sah, dan terus-menerus ke jaringan komputer perusahaan dan organisasi di sektor energi internasional, termasuk fi minyak dan gas rms, pembangkit listrik tenaga nuklir, dan utilitas dan perusahaan transmisi listrik.”
Secara khusus, mereka diduga menargetkan perangkat lunak dan perangkat keras yang mengontrol peralatan di fasilitas pembangkit listrik, yang dikenal sebagai sistem ICS atau Supervisory Control and Data Acquisition (SCADA).
“Akses ke sistem tersebut sistem akan memberikan pemerintah Rusia kemampuan untuk, antara lain, mengganggu dan merusak sistem komputer tersebut di masa depan yang dipilihnya,” menurut siaran pers DOJ. : Yang pertama adalah serangan rantai pasokan yang biasa disebut sebagai “Dragonfly” atau “Havex” oleh peneliti keamanan. Dragonfly terjadi antara 2012 dan 2014 dan jaringan komputer yang dikompromikan dari produsen sistem ICS/SCADA dan vendor perangkat lunak.
Ini melibatkan penyelipan trojan akses jarak jauh (RAT) Havex di dalam pembaruan perangkat lunak yang sah. Menurut penasehat 2014 dari Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), Havex RAT menargetkan vendor melalui kampanye phishing, pengalihan situs web dan, akhirnya, dengan menginfeksi penginstal perangkat lunak. Tiga situs web vendor dikompromikan dalam serangan lubang air, kata penasihat ICS-CERT.
“Setelah pelanggan yang tidak curiga mengunduh pembaruan yang terinfeksi Havex, para konspirator akan menggunakan malware untuk, antara lain, membuat pintu belakang ke dalam sistem yang terinfeksi dan memindai data korban. jaringan untuk perangkat ICS/SCADA tambahan,” menurut DOJ. Geng tersebut diduga berhasil memasang malware di lebih dari 17.000 perangkat unik di Amerika Serikat dan luar negeri, termasuk pengontrol ICS/SCADA yang digunakan oleh perusahaan listrik dan energi.
Dragonfly 2.0: Spearphishing Pembangkit Listrik Tenaga Nuklir
Antara 2014 dan 2017, kampanye memasuki apa yang biasanya disebut sebagai “Dragonfly 2.0,” di mana tersangka diduga mengalihkan fokus mereka ke entitas sektor energi tertentu dan individu serta insinyur yang bekerja dengan sistem ICS/SCADA.
Fase kedua ini melibatkan serangan spearphishing yang menargetkan lebih dari 3.300 pengguna di lebih dari 500 AS dan internasional perusahaan dan entitas, selain lembaga pemerintah AS seperti Komisi Pengaturan Nuklir.
Serangan spearphishing terkadang berhasil, termasuk dalam kompromi jaringan bisnis (yaitu, melibatkan komputer yang tidak terhubung langsung ke peralatan ICS/SCADA) dari Wolf Creek Perusahaan Operasi Nuklir (Wolf Creek) di Burlington, Kansas. Wolf Creek mengoperasikan pembangkit listrik tenaga nuklir.
“Selain itu, setelah membangun pijakan ilegal di jaringan tertentu, para konspirator biasanya menggunakan pijakan itu untuk menembus lebih jauh ke dalam jaringan dengan mendapatkan akses ke komputer dan jaringan lain di entitas korban,” menurut DOJ.
Dragonfly 2.0 juga memerlukan serangan lubang air dimana penyerang yang diduga mengeksploitasi kerentanan yang diketahui publik dalam perangkat lunak manajemen konten (CMS) untuk mengkompromikan server yang menghosting situs web yang biasa dikunjungi oleh sistem ICS/SCADA dan insinyur sektor energi lainnya. “Ketika para insinyur menelusuri situs web yang disusupi, skrip tersembunyi para konspirator menyebarkan malware yang dirancang untuk menangkap kredensial login ke komputer mereka,” kata DOJ. .
Petugas FSB mencari tuduhan konspirasi untuk menyebabkan kerusakan pada properti fasilitas energi dan melakukan penipuan komputer dan penyalahgunaan dan konspirasi untuk melakukan penipuan kawat. Akulov dan Gavrilov juga didakwa dengan jumlah substantif penipuan kawat dan penipuan komputer terkait dengan memperoleh informasi secara tidak sah dari komputer dan menyebabkan kerusakan pada komputer. Akulov dan Gavrilov juga didakwa dengan tiga tuduhan pencurian identitas.
Masih Menganga Lubang Keamanan di Perusahaan Energi
LookingGlass CEO Gilman Louie, seorang ahli keamanan nasional dan keamanan siber yang memiliki pengalaman CIA dan yang secara teratur berbagi atau menganalisis intel dengan lembaga pemerintah, mengatakan kepada Threatpost di Jumat bahwa tindakan hukum terhadap operator potensial dari malware Triton yang sangat berbahaya diterima: Mereka adalah "langkah positif [yang] mengirimkan pesan yang kuat kepada pelaku kejahatan dunia maya dan negara-bangsa secara global," katanya melalui email.
On the less- sisi positifnya, profil dunia maya LookingGlass baru-baru ini dari sektor Energi AS tampak suram.
Banyak perusahaan energi yang duduk diam, dengan eksposur saat ini yang telah dieksploitasi oleh para pelaku ini di masa lalu, termasuk pelabuhan terbuka yang memungkinkan pelaku ancaman untuk mendapatkan akses jarak jauh penuh .
Laporan tersebut menemukan bahwa “peretas Rusia sudah berada di dalam infrastruktur AS,” tetapi kata LookingGlass bahwa Gedung Putih belum secara khusus mengomunikasikan bagaimana orang Rusia dapat menargetkan sektor swasta atau infrastruktur penting, atau bagaimana melindungi organisasi. Meskipun demikian, ketika membuka segel dakwaan, pemerintah mencatat bahwa mereka mengambil tindakan untuk meningkatkan upaya pertahanan jaringan sektor swasta dan untuk mengganggu aktivitas jahat serupa. eksposur lebih lanjut untuk serangan yang bisa lebih besar dari yang telah kita lihat, LookingGlass berkata:
< ul>
- iPort 139/445 – SMB: Port jaringan SMB biasanya digunakan untuk file membagikan. Kelompok Rusia telah berhasil menargetkan port ini untuk mengeksekusi kode jarak jauh dan untuk mencuri informasi, menurut LookingGlass.
Ini hanya beberapa contoh kerentanan yang dieksploitasi secara aktif oleh aktor ancaman yang terkait langsung dengan Rusia di dalam perusahaan AS, kata LookingGlass.
Ini bukan waktunya untuk menunggu peristiwa siber tingkat nuklir, mengingat bahwa pelaku ancaman sudah berada di dalam infrastruktur listrik. Sekarang saatnya bagi perusahaan untuk menemukan dan mengurangi lubang yang memungkinkan mereka masuk, kata Louie.
“Entitas sektor energi harus meninjau jejak digital mereka dan mengambil tindakan untuk mengamankan aset eksternal mereka, terutama saat ancaman serangan siber Rusia meningkat. ,” katanya.
Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang kuat tentang cara mempertahankan aset Anda dengan eBook GRATIS kami yang dapat diunduh, “Cloud Security: The Forecast for 2022.” Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keamanan sukses dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
