Cyberthreat.id – Malware COSMICENERGY telah lama disuntikkan ke utilitas pemindaian malware publik VirusTotal. Sejauh ini belum ada bukti telah digunakan di alam liar, namun malware ini sangat berbahaya sebab dirancang untuk menembus dan mengganggu sistem kritis di lingkungan industri.

Firma intelijen ancaman milik Google, Mandiant menjelaskan kepada The Hacker News, bahwa malware COSMICENERGY  dirancang untuk menyebabkan gangguan daya listrik dengan berinteraksi dengan perangkat IEC 60870-5-104 (IEC-104).

“Seperti unit terminal jarak jauh (RTU), yang biasanya dimanfaatkan dalam operasi transmisi dan distribusi listrik di Eropa, Tengah. Timur, dan Asia," kata perusahaan itu.

Ditambahkan, COSMICENERGY adalah tambahan terbaru untuk malware khusus seperti Stuxnet, Havex, Triton, IRONGATE, BlackEnergy2, Industroyer, dan PIPEDREAM, yang mampu menyabotase sistem kritis dan mendatangkan malapetaka.

Mandiant mengatakan bahwa ada hubungan tidak langsung yang mungkin telah dikembangkan sebagai alat kerja sama merah oleh perusahaan telekomunikasi Rusia Rostelecom-Solar untuk mensimulasikan gangguan listrik dan latihan tanggap darurat yang diadakan pada Oktober 2021.

Hal ini meningkatkan kemungkinan bahwa malware dikembangkan untuk membuat ulang skenario serangan yang realistis terhadap aset jaringan energi untuk menguji pertahanan atau pihak lain menggunakan kembali kode yang terkait dengan jangkauan dunia maya.

Malware Jaringan Listrik

Alternatif kedua tidak pernah terdengar, terutama mengingat fakta bahwa pelaku ancaman diketahui beradaptasi dan menggunakan kembali tim merah yang sah dan alat pasca-eksploitasi untuk tujuan jahat.

Fitur COSMICENERGY sebanding dengan Industroyer – yang dikaitkan dengan kelompok Sandworm yang didukung Kremlin – karena kemampuannya untuk mengeksploitasi protokol komunikasi industri yang disebut IEC-104 untuk mengeluarkan perintah ke RTU.

“Dengan memanfaatkan akses ini, penyerang dapat mengirim perintah jarak jauh untuk memengaruhi aktuasi sakelar saluran listrik dan pemutus sirkuit untuk menyebabkan gangguan daya,” kata Mandiant.

Ini dicapai melalui dua komponen yang disebut PIEHOP dan LIGHTWORK, yang masing-masing merupakan dua alat gangguan yang ditulis dalam Python dan C++, untuk mengirimkan perintah IEC-104 ke peralatan industri yang terhubung.

Aspek penting lainnya dari malware sistem kontrol industri (ICS) adalah kurangnya kemampuan intrusi dan penemuan, yang berarti mengharuskan operator melakukan pengintaian internal jaringan untuk menentukan alamat IP perangkat IEC-104 yang akan ditargetkan.

Untuk melakukan serangan, pelaku ancaman harus menginfeksi komputer di dalam jaringan, menemukan Microsoft SQL Server yang memiliki akses ke RTU, dan mendapatkan kredensialnya.

PIEHOP kemudian dijalankan di mesin untuk mengunggah LIGHTWORK ke server, yang mengirimkan perintah jarak jauh yang mengganggu untuk mengubah keadaan unit (ON atau OFF) melalui TCP. Itu juga segera menghapus yang dapat dieksekusi setelah mengeluarkan instruksi.

“Fakta bahwa keluarga malware ICS telah diidentifikasi sebelum digunakan secara aktif dalam serangan dunia nyata menjadikannya penemuan yang tidak biasa,” kata Daniel Kapellmann Zafra, manajer analisis di divisi Mandiant Intelligence Google Cloud, kepada The Hacker News.

“Sementara kemampuan COSMICENERGY tidak jauh berbeda dari keluarga malware OT sebelumnya, penemuannya menyoroti beberapa perkembangan penting dalam lanskap ancaman OT,” kata Mandiant.

"Penemuan malware OT baru menghadirkan ancaman langsung bagi organisasi yang terkena dampak, karena penemuan ini jarang terjadi dan karena malware pada prinsipnya memanfaatkan fitur desain lingkungan OT yang tidak aman yang tidak mungkin diperbaiki dalam waktu dekat."

“Salah satu pelajaran utama dari COSMICENERGY adalah bahwa pembela HAM harus terbiasa dengan keluarga malware OT [teknologi operasional] sebelumnya, kemampuan mereka, dan cara kerjanya,” kata Kapellmann Zafra.

"Pengetahuan tentang hal ini dapat membantu para pembela untuk mempertahankan program perburuan dan deteksi ancaman yang dengan ketat mencari perilaku yang diketahui mencurigakan di jaringan OT."[]