Cyberthreat.id – Hacker terkenal Rusia yang dikenal sebagai Sandworm menargetkan gardu listrik di Ukraina tahun lalu, menyebabkan pemadaman listrik singkat pada Oktober 2022.

Temuan ini berasal dari Mandiant Google, yang menggambarkan peretasan tersebut sebagai “serangan cyber multi-peristiwa” yang memanfaatkan teknik baru untuk memengaruhi sistem kontrol industri (ICS).

“Aktor tersebut pertama kali menggunakan teknik living-off-the-land (LotL) tingkat OT yang kemungkinan membuat pemutus arus gardu induk korban tersandung, menyebabkan pemadaman listrik yang tidak direncanakan yang bertepatan dengan serangan rudal massal terhadap infrastruktur penting di seluruh Ukraina,” kata perusahaan tersebut sebagaimana dikutip The Hacker News.

“Sandworm kemudian melakukan peristiwa mengganggu kedua dengan menerapkan varian baru CaddyWiper di lingkungan TI korban.”

Perusahaan intelijen ancaman tidak mengungkapkan lokasi fasilitas energi yang ditargetkan, durasi pemadaman listrik, dan jumlah orang yang terkena dampak insiden tersebut.

Perkembangan ini menandai upaya berkelanjutan Sandworm untuk melancarkan serangan yang mengganggu dan membahayakan jaringan listrik di Ukraina setidaknya sejak tahun 2015 dengan menggunakan malware seperti Industroyer.

Vektor awal pasti yang digunakan untuk serangan cyber-fisik saat ini masih belum jelas, dan diyakini bahwa penggunaan teknik LotL oleh pelaku ancaman mengurangi waktu dan sumber daya yang diperlukan untuk melakukan serangan tersebut.

Intrusi tersebut diperkirakan terjadi sekitar bulan Juni 2022, ketika para pelaku Sandworm mendapatkan akses ke lingkungan teknologi operasional (OT) melalui hypervisor yang menjadi tuan rumah bagi instansi manajemen pengawasan pengawasan dan akuisisi data (SCADA) untuk lingkungan gardu induk korban.

Pada 10 Oktober 2022, file gambar cakram optik (ISO) digunakan untuk meluncurkan malware yang mampu mematikan gardu induk, sehingga mengakibatkan pemadaman listrik tidak terjadwal.

“Dua hari setelah kejadian PL, Sandworm menyebarkan varian baru CaddyWiper di lingkungan TI korban yang menyebabkan gangguan lebih lanjut dan berpotensi menghilangkan artefak forensik,” kata Mandiant.

CaddyWiper mengacu pada malware penghapus data yang pertama kali terungkap pada Maret 2022 sehubungan dengan perang Rusia-Ukraina.

Eksekusi serangan tersebut, kata Mandiant, bertepatan dengan dimulainya serangkaian serangan rudal terkoordinasi selama beberapa hari terhadap infrastruktur penting di sejumlah kota di Ukraina, termasuk kota di mana korban yang tidak disebutkan namanya berada.

“Serangan ini merupakan ancaman langsung terhadap lingkungan infrastruktur penting Ukraina yang memanfaatkan sistem kontrol pengawasan MicroSCADA,” kata perusahaan itu.

“Mengingat aktivitas ancaman global Sandworm dan penyebaran produk MicroSCADA di seluruh dunia, pemilik aset secara global harus mengambil tindakan untuk memitigasi taktik, teknik, dan prosedur mereka terhadap sistem TI dan OT.”[]