Cyberthreat.id - Sebuah situs web berita teknologi bisnis mengungkapkan perusahaan minyak nasional Bahrain yang dikenal sebagai Bapco diserang oleh hacker Iran akhir Desember 2019.

Peretas yang disponsori negara (state-sponsored) Iran menyerang jaringan Bapco dengan mengerahkan jenis Malware baru penghapus data (Wiper) yang disebut Dustman.

Peristiwa itu terjadi pada 29 Desember 2019 dan hanya mempengaruhi sebagian dari sistem komputer dan jaringan Bapco. Perusahaan masih terus beroperasi bahkan setelah Malware terdeteksi.

Menurut beberapa ahli, serangan Bapco menyerupai modus operandi dari peretas yang disponsori negara Iran sebagaimana dituliskan Cyware Hacker News, Kamis (9 Januari 2020).

Dustman Si 'Wiper'

Badan Keamanan Cyber Arab Saudi (CNA) mengatakan serangan Bapco melihat penggunaan jenis Malware baru yang bisa menjadi versi yang ditingkatkan atau lebih canggih dari wiper ZeroCleare (pertama kali ditemukan pada September 2019).

Dustman adalah Malware penghapus data ketiga yang terkait dengan Teheran. IBM X-Force sebelumnya telah menghubungkan peretas Iran dengan ZeroCleare yang memiliki banyak kesamaan kode dengan Malware jenis wiper yang asli Shamoon.

Komponen umum yang dibagi di antara ketiga strain adalah EldoS RawDisk, toolkit perangkat lunak yang sah untuk berinteraksi dengan file, disk, dan partisi.

Serangan berbeda ketika strain Malware ini digunakan dengan berbagai eksploitasi dan teknik untuk memajukan akses awal ke tingkat admin, dari mana mereka membongkar dan mendorong utilitas EldoS RawDisk untuk menghapus data pada host yang terinfeksi.

Detail Serangan

Menurut laporan CNA, penyerang gagal menjalankan rencana yang diharapkan. Mereka mengerahkan Dustman dan memicu proses penghapusan data sebagai upaya terakhir untuk menyembunyikan jejak forensik.

Sementara itu, para pelaku juga melakukan serangkaian kesalahan fatal yang bisa mengungkap keberadaan mereka di jaringan yang diretas.

Pejabat CNA Arab Saudi menyatakan titik masuknya adalah server VPN perusahaan, bentuk di mana peretas meningkatkan akses mereka ke pengontrol domain lokal.

"Kerentanan eksekusi jarak jauh (remote execution vulnerabilities) dalam alat VPN yang diungkapkan pada Juli 2019 sebagai titik masuk penyerang ke jaringan Bapco," tulis laporan CNA.

Bapco mungkin bukan satu-satunya korban serangan dengan malware Dustman.

Setelah serangan terdeteksi, para pejabat Saudi mengirimkan peringatan kepada perusahaan lokal yang aktif di pasar dan sektor energi memperingatkan serangan yang akan datang dan juga mendesak perusahaan untuk mengamankan jaringan masing-masing.