Pemerintah AS telah memperingatkan bahwa pelaku ancaman persisten tingkat lanjut (APT) telah merancang alat yang mampu membajak perangkat industri yang digunakan di sektor infrastruktur penting. kompromi, dan kendalikan perangkat yang terpengaruh setelah mereka membuat akses awal ke jaringan teknologi operasional (OT)”, bunyi nasihat keamanan siber bersama (CSA) yang dikeluarkan kemarin (13 April) oleh NSA, FBI, Departemen Energi (DOE), dan Cybersecurity and Infrastructure Security Agency (CISA).
“Aktor APT dapat memanfaatkan modul untuk memindai perangkat yang ditargetkan, melakukan pengintaian pada detail perangkat, mengunggah konfigurasi/kode berbahaya ke perangkat yang ditargetkan, mencadangkan atau memulihkan konten perangkat, dan memodifikasi perangkat parameter.” Alat
One mengeksploitasi kerentanan (CVE-2020-15368) di driver motherboard bertanda ASRock, AsrDrv103.sys, ke exe kode berbahaya lucu di kernel Windows dan menyediakan batu loncatan untuk gerakan lateral dan eskalasi hak istimewa.
Trio perangkat sistem kontrol industri (ICS) atau kontrol pengawasan dan akuisisi data (SCADA) rentan, termasuk beberapa model pengontrol logika yang dapat diprogram Schneider Electric ( PLC) dan PLC OMRON Sysmac NEX, serta server Open Platform Communications Unified Architecture (OPC UA).
PLC adalah komputer solid-state yang memantau input dan membuat keputusan tentang output dari proses atau mesin otomatis. OPC UA adalah standar platform-agnostik yang dapat diperluas yang memfasilitasi pertukaran data yang aman dalam sistem industri.
`Sulit dideteksi`
Alat serangan modular, yang antarmuka perintahnya mencerminkan antarmuka perangkat yang ditargetkan, memungkinkan peretas jahat bahkan dengan keterampilan teknis sederhana untuk melakukan eksploitasi yang sangat otomatis terhadap perangkat yang ditargetkan.
Perangkat telah dianalisis oleh perusahaan keamanan siber industri Dragos, yang mengatakan itu hanya merupakan malware khusus ICS ketujuh dan merupakan hasil karya dari kelompok ancaman misterius yang dijuluki `Chernovite`.
Sementara malware – bernama `Pipedream` oleh Dragos – disesuaikan untuk menargetkan gas alam cair dan aset listrik, cukup fleksibel untuk menargetkan berbagai pengontrol dan sistem industri, menurut Robert M Lee, CEO dan salah satu pendiri Dragos.
“Pipedream membutuhkan keuntungan dari fungsionalitas asli dalam operasi, sehingga lebih sulit untuk dideteksi, ”katanya. “Ini mencakup fitur-fitur seperti kemampuan untuk menyebar dari pengontrol ke pengontrol dan memanfaatkan protokol jaringan ICS populer seperti ModbusTCP dan OPC UA.”
Dalam analisis terpisah, perusahaan keamanan siber Mandiant mengatakan perangkat tersebut “mewakili kemampuan serangan siber yang sangat langka dan berbahaya. ”.
Mandiant peneliti menyamakan alat tersebut, yang disebut Incontroller, dengan Triton, yang terlibat dalam upaya 2017 untuk menonaktifkan sistem keamanan industri; Industri, yang menyebabkan pemadaman listrik di Ukraina pada tahun 2016; dan Stuxnet, yang menyabotase program nuklir Iran pada tahun 2010.
Cara Mengatasi?
Tidak biasanya, kata Lee, penemuan alat telah datang sebelum mereka dilepaskan ke jaringan, memberikan “pembela kesempatan unik untuk bertahan sebelum serangan” .
He melanjutkan: “Meskipun kemampuan jahat itu canggih, dengan berbagai fungsi, menerapkan praktik keamanan siber ICS mendasar seperti memiliki arsitektur yang dapat dipertahankan, rencana respons insiden khusus ICS, dan pemantauan jaringan ICS memberikan pertahanan yang kuat terhadap ancaman ini. ”
Berita ini menyusul peringatan kepada entitas infrastruktur penting dari pemerintahan Biden untuk bersiap menghadapi serangan siber Rusia saat negara itu terus berperang di Ukraina.
Referensi PortSwigger.com