Cyberthreat.id – Kelompok peretasan yang disponsori oleh Rusia, Sandworm mencoba untuk mematikan penyedia energi besar Ukraina dengan menggunakan malware sistem kontrol industri (ICS).

Dikutip dari Bleeping Computer, Sandworm berusaha untuk memutus gardu listrik di Ukraina menggunakan varian baru malware Industroyer untuk ICS. Tidak hanya itu saja, mereka juga menggunakan versi baru penghapus data CaddyWiper.

Menurut para peneliti ESET, Sandworm menggunakan versi malware Industroyer ICS yang disesuaikan untuk gardu listrik tegangan tinggi. Kemudian mereka mencoba menghapus jejak serangan dengan mengeksekusi CaddyWiper dan malware penghapus data lainnya yang dilacak sebagai Orcshred, Soloshred, dan Awfulshred untuk Linux dan sistem Solaris.

Setelah kejadian tersebut, peneliti dari ESET bekerjasama dengan Tim Tanggap Darurat Komputer Ukraina (CERT UA) untuk memulihkan dan melindungi jaringan yang diserang. Namun mereka tidak mengetahui bagaimana penyerang berhasil berpindah dari jaringan TI ke lingkungan ICS.

“Dalam kejadian ini tujuan pelaku ancaman adalah menonaktifkan beberapa elemen infrastruktur,” ungkap ESET dan CERT UA dalam pernyataan bersama..

Peneliti menyebutkan, malware ICS yang digunakan dalam serangan itu sekarang dilacak sebagai Industroyer2, dibuat menggunakan kode sumber Industroyer yang digunakan pada2016 untuk memutus aliran listrik di Ukraina dan dikaitkan dengan kelompok peretasan Rusia yang disponsori negara, Sandworm

“Sandworm berencana untuk memulai tahap akhir serangan pada hari Jumat, 8 April (pukul 14:58 UTC) dengan menyebarkan maware pada Komputer Windows, stasiun kerja otomatis, server linux, gardu listrik bertegangan tinggi, dan peralatan aktif,” kata ESET dan CERT UA.

CERT-UA mengatakan bahwa implementasi rencana Sandworm sejauh ini telah dicegah. Sementara ESET mencatat dalam laporan teknis tentang malware yang digunakan dalam serangan ini bahwa penyerang Sandworm melakukan upaya untuk menyebarkan malware Industroyer2 terhadap gardu listrik tegangan tinggi di Ukraina.

Para peneliti mengatakan bahwa Industroyer2 sangat dapat dikonfigurasi dan dilengkapi dengan konfigurasi terperinci yang di-hardcode, yang mengharuskannya untuk dikompilasi ulang untuk setiap lingkungan korban baru. Namun, mengingat keluarga malware Industroyer hanya digunakan dua kali, dengan jarak lima tahun antara setiap versi, ini mungkin bukan batasan untuk operator Sandworm.

“Berdasarkan stempel waktu Portabel Executable dari Industroyer2 menunjukkan bahwa itu dikompilasi pada 23 Maret, yang menunjukkan bahwa serangan itu telah direncanakan setidaknya selama dua minggu,” kata peneliti.

Alat tambahan yang digunakan dalam serangan termasuk skrip PowerGap PowerShell yang digunakan untuk menambahkan Kebijakan Grup untuk mengunduh muatan dan membuat tugas terjadwal, dan Impacket, yang digunakan untuk eksekusi perintah jarak jauh. Sedangkan komponen worm dalam serangan ini - skrip Bash bernama sc.sh - mencari jaringan yang dapat diakses (melalui ip route atau ifconfig) dan mencoba untuk terhubung ke semua host yang tersedia melalui SSHH (TCP port 22, 2468, 24687, 522).

Peneliti menyebutkan varian baru yang digunakan minggu lalu pada penyedia energi Ukraina adalah evolusi dari malware asli yang digunakan dalam serangan pemadaman listrik 2016 di Ukraina. Industroyer2 hanya menggunakan protokol IEC-104 untuk berkomunikasi dengan peralatan industri, sedangkan sebelumnya, mendukung beberapa protokol ICS.

Menurut analisis ESET, sampel yang baru-baru ini dianalisis berkomunikasi dengan delapan perangkat secara bersamaan. Tindakan pasti yang dilakukan oleh Industroyer2 setelah sambungannya ke relai masih diperiksa, tetapi telah ditentukan bahwa ia menghentikan proses sah yang dilakukan peralatan industri dalam operasi standarnya.[]

Editor: Yuswardi A. Suud