Digitalmania – Pelanggaran keamanan Industrial Control Systems (ICS) dan Supervisory Control and Data Acquisition (SCADA) merupakan ancaman keamanan informasi yang relatif baru. Para aktor antagonis di baliknya memiliki banyak motivasi untuk mengeksploitasi target ICS/SCADA. Target eksploitasi dapat menjadi batu loncatan menuju target akhir mereka: aset di jaringan perusahaan. Dalam skenario ini, ICS/SCADA adalah titik lemah dan menjadi target eksploitasi utama. Atau dengan kata lain, aktor ancaman dapat secara khusus menargetkan sistem ICS/SCADA untuk mencuri informasi berharga tentang proses industri korban.
Terlepas dari motif dan niat pelaku, para ahli sepakat bahwa serangan terhadap sistem dan jaringan ini sedang meningkat. Kompromi sistem ICS/SCADA sangat memprihatinkan karena, selain kehilangan data, pelanggaran dapat mengakibatkan gangguan besar pada proses manufaktur atau bahkan kerusakan fisik. Hasil riset ESET terhadap serangan Stuxnet pada fasilitas nuklir Iran yang menggunakan ICS/SCADA menunjukkan bahwa malware semacam ini bisa sangat destruktif.
Berdasar survei dari Forrester terhadap perusahaan yang mengoperasikan ICS/SCDA tentang ancaman keamanan siber, 63% organisasi mengatakan keselamatan karyawan mereka sangat dipengaruhi oleh pelanggaran keamanan ICS/SCADA. 58% lainnya melaporkan bahwa serangan malware semacam ini dapat berdampak besar terhadap stabilitas finansial perusahaan mereka. Hal ini memperlihatkan bagaimana ancaman ini bisa sangat merugikan bagi perusahaan.
Serangan Operational Technology
Secara historis, Operational Technology (OT) jaringan benar-benar terpisah dari jaringan perusahaan. Untuk alasan bisnis, jaringan ini sekarang sering terhubung, yang meningkatkan risiko dengan membuka jalur baru bagi pelaku untuk mengakses sistem perusahaan. Memperkuat barikade dan mempertahankan sistem ICS dan SCADA merupakan tantangan yang tak mudah jika melihat lubang keamanan yang menganga begitu besar:
-
Jaringan-jaringan OT penuh dengan sistem warisan dengan kerentanan yang belum di-patch yang dapat dieksploitasi. Ketakutan gangguan bisnis menunda peningkatan dan pembaruan/update. Situasi ini yang kemudian disukai oleh peretas, karena mereka fokus pada target yang hemat biaya, seperti yang belum mendapat perlindungan keamanan.
-
Pemeliharaan dan pertahanan jaringan OT membutuhkan keahlian teknis khusus yang bukan bagian dari keahlian IT tradisional. Ini membuat karyawan dengan akses sistem istimewa lebih rentan terkena serangan social engineering.
Akibatnya, lingkungan ICS umumnya lambat untuk merespon perubahan tool dan taktik pelaku ancaman. Mereka memanfaatkan ini dengan mendaur ulang malware dan vektor serangan yang telah terbukti efektif terhadap targeted attack seperti di bidang keuangan dan Pangkalan Industri Pertahanan untuk mengeksploitasi target industri. Contohnya BlackEnergy, yang beberapa tahun lalu digunakan untuk menyerang target industri, dan mengeksploitasi operator sistem ICS/SCADA, disusul kemudian oleh Telebot dan yang paling terkini dan diketahui paling canggih yaitu GreyEnergy.
GreyEnergy
GreyEnergy tidak datang begitu saja, kehadirannya melalui proses panjang. Malware modern ini berdasarkan riset dari ESET masih memiliki hubungan dengan BlackEnergy yang pada tahun 2015 memadamkan pembangkit listrik milik Ukraina yang kemudian berevolusi menjadi Telebots. Kelompok Telebots berada di balik wabah ransomware Diskoder.C alias Notpetya pada tahun 2017 yang melabrak seluruh dunia dengan petaka yang merugikan banyak perusahaan besar.
Penelitian panjang ESET tidak terhenti sampai di situ, karena setelah ditelusuri lebih lanjut, Telebot ternyata juga terhubung dengan Industroyer, malware ICS/SCADA yang juga memadamkan listrik di Ukraina pada 2016. Hal ini diketahui ketika TeleBots melakukan operasi siber dengan menggunakan backdoor baru yang ESET deteksi sebagai Win32/Exaramel. Dari hasil analisis menunjukkan bahwa backdoor TeleBot ini adalah versi perbaikan dari backdoor Industroyer. Proses panjang ini yang kemudian menjadi sebuah intisari yang kita kenal sebagai GreyEnergy. Malware ICS/SCADA paling canggih yang didesain untuk melakukan serangan dalam skala luas.
“GreyEnergy adalah sebuah metamorfosis dari malware sederhana menjadi malware yang modern dan canggih namun juga lebih rumit. Malware yang berkembang melewati batasnya sehingga berubah menjadi ancaman multifungsi yang membawa banyak perangkat mutakhir di dalamnya” kata Yudhi Kukuh, Technical Consultant PT Prosperita – ESET Indonesia.
“GreyEnergy memiliki teknik penghindaran atau mampu bersembunyi dari pendeteksian, membekali dirinya dengan teknologi pengintaian dan spionase, memiliki kemampuan mencuri apa pun dan berbagai keahlian lainnya yang menakutkan, yang kesemuanya ditargetkan kepada organisasi yang mengoperasikan ICS/SCADA. Meski demikian semua ancaman disebutkan di atas mampu dideteksi oleh ESET semenjak dini,” ungkap Yudhi.
NTA & EDR
Serangan terhadap infrastruktur ICS/SCADA digolongkan dalam Targeted Attack atau serangan yang ditargetkan. Targeted attack merupakan ancaman yang saat ini tengah menjadi momok bagi dunia industri, dunia usaha harus mengimplementasikan dua teknologi terkini sebagai solusi keamanan yang sanggup menghadapi serangan malware berbahaya seperti GreyEnergy
-
Endpoint Detection & Response (EDR)
EDR merupakan teknologi mutakhir titik akhir yang dapat memantau dalam jaringan, mengumpulkan data secara real time tentang apa yang terjadi pada endpoint. Kemudian mengidentifikasi, menganalisis, dan menyelesaikan masalah serangan siber atau pembobolan data. Dapat pula digunakan untuk analisis sebaran malware atau APT dengan filter yang ada (behaviour, reputation). Teknologi seperti ini sudah dimiliki oleh ESET Endpoint v7.
-
Network Traffic Analysis (NTA)
Teknologi analisis lalu lintas jaringan dapat menjadi solusi jitu untuk mendeteksi setiap kejahatan maya di dalam jaringan. Kita semua tahu bahwa hampir seluruh kejahatan siber terjadi dalam jaringan, dengan memiliki teknologi NTA, perusahaan dapat mantau semua kegiatan dalam jaringan, tidak hanya di perimeter, tetapi juga antara titik akhir dan server. Cara ini dapat mengidentifikasi sumber dari titik akhir apa pun yang bertanggung jawab atas serangan maya yang sedang berlangsung.
Teknologi Network Traffic Analysis merupakan salah satu teknologi andalan yang diusung Prosperita. GreyCortex, dengan solusinya yang disebut Mendel, merupakan sistem analisis lalu lintas jaringan, dibangun menggunakan kombinasi kecerdasan buatan (AI), machine learning dan analis data canggih. memiliki database yang di dalamnya berisi data berbagai virus, malware, RAT, Trojan bahkan ransomware, termasuk juga situs-situs berbahaya dan jebakan. Dalam database ini berisi daftar hitam 100.000 alamat IP dan lebih dari 55.000 deteksi signature (deteksi risiko & ancaman yang diketahui) aktif dalam 40 kategori yang terus diperbarui setiap saat. Digitalmania. (AN)