Cyberthreat.id - Perusahaaan keamanan siber asal Amerika Serikat, Dragos, mengidentifikasi empat geng peretas (hacker) yang khusus menargetkan perusahaan kritis, seperti penyedia air, listrik, minyak dan gas serta manufaktur.

Empat geng tersebut menyerang jaringan teknologi operasional (OT)—sistem komputasi yang mengelola operasional industri— milik perusahaan selama setahun terakhir. Peneliti melihat adanya jumlah investasi yang meningkat dari para peretas tersebut. Siapa sajakah empat kelompok peretas itu?

Pertama, Stibnite. Geng ini menargetkan organisasi pembangkit angin dan entitas pemerintah di Azerbaijan antara 2019-2020. Peretas mendistribusikan malware khusus dikenal  dengna julukan “PoetRAT” yang disebarkan melalui email phishing. Malware yang dibawa peretas mampu menghindari deteksi perangkat lunak antivirus/antimalware.

Kedua, Talonite. Peneliti mengatakan telah melacak kelompok ini sejak Juli 2019 yang menargetkan sektor listrik Amerika Serikat (AS). Sama halnya dengan Stibnite, peneliti menyebut vektor infeksi awalnya melalui phisging dengan dokumen berbahaya atau file eksekusi.

"Talonite berfokus pada menumbangkan dan mengambil keuntungan dari kepercayaan dengan umpan phising yang berfokus pada tema dan konsep khusus," kata peneliti dikutip dari situs web perusahaan, Jumat (26 Februari 2021).

Setelah itu, Talonite mendistribusikan malware khusus yakni LookBack dan FlowCloud. Aktivitas Talonite pun dikatakan sulit dilacak dan dikendalikan karena kemampuan peretas dapat memastikan intrusi berhasil.

Ketiga, Kamacite. Sama dengan kelompok lainnya, Kamacite juga melakukan phishing serta menyebarkan malware khusus, bahkan bisa memodifikasi malware buatan pihak ketiga. 

Berbeda dengan kedua sebelumnya, Kamacite ini telah menargetkan infrastruktur kritis sejak 2014. Meski telah lama, peneliti mengatakan tidak banyak perubahan yang dilakukan karena keahliannya tetap sangat mirip. Korbannya pun tercatat di Ukraina, Eropa, dan Amerika Serikat. Namun, terlihat fokus mengkompromikan infrastruktur di Eropa.

Keempat, Vanadinite. Peretas ini baru menargetkan korbannya pada 2019 seperti perusahaan energi, manufaktur, dan transportasi di Amerika Utara, Eropa, Australia, dan Asia. Geng ini pun dikaitkan dengan ke grup Winnti, APT41, dan LEAD, tetapi Departemen Kehakiman AS menghubungkan merekai dengan operator yang bekerja atas nama Republik Rakyat Cina (RRC).

Peneliti mengatakan grup ini mendapatkan akses ke jaringan korban dengan mengeksploitasi kerentanan di jaringan luar dan perangkat keamanan.

Penemuan keempat operasi peretasan baru ini menambah deretan temuan Dragos yang mana telah 11 operasi yang khusus menyerang infrastruktur kritis. Dengan kata lain, total ada 15 operasi peretasan.

Dragos mengatakan visibilitas menjadi masalah bagi jaringan industri, dengan 90 persen organisasi yang diperiksa tidak memiliki pemahaman penuh tentang jaringan OT mereka sendiri, sehingga membuat penyerang menjadi tidak terdeteksi.

Penyerang pun menggabungkan kurangnya visibilitas perusahaan dengan kemampuan peretas bersembunyi dengan kredensial yang dicurinya dari upaya phising. Dengan begitu, kredensial sah disalahgunakan penyerang untuk bergerak di jaringan, membuatnya tidak terdeteksi.

"Kurangnya visibilitas meningkatkan risiko secara signifikan karena memungkinkan musuh kebebasan untuk melakukan operasi tanpa hambatan, waktu untuk memahami lingkungan korban untuk menemukan tujuan mereka, mencapai efek yang diinginkan dan memenuhi maksud untuk melakukan kompromi," kata wakil presiden intelijen ancaman di Dragos, Sergio Caltagirone seperti dikutip dari ZDNet.

Dragos pun menyarankan agar organisasi atau perusahaan perlu meningkatkan visibilitas jaringan mereka sendiri dan membantu melindungi sistem dari gangguan siber.

Tak hanya itu, perusahaan harus mengidentifikasi aset mana yang melakukan kontrol atas operasi kritis dan memprioritaskan keamanan agar penyerang tidak semudah itu mendapatkan akses atau membuat serangan lebih mudah untuk diidentifikasi.

Selain itu, perusahaan harus memisahkan antara teknologi operasional dari teknologi informasinya, atau melakukan segmentasi jaringan. Dengan ini, penyerang yang menyusupi jaringan TI tidak dengan mudah berpindah ke kontrol OT pada jaringan yang sama.

Terakhir, perusahaan perlu mengamankan kredensial loginnya dengan baik dengan penggunaan otentikasi multi-faktor (MFA) dan juga harus berusaha menghindari penggunaan kredensial login default agar menghalangi penyerang jarak jauh.[]

Redaktur: Andi Nugroho