AS Memperingatkan Peretas APT yang Menargetkan Sistem ICS/SCADA dengan Malware Khusus

AS Memperingatkan Peretas APT yang Menargetkan Sistem ICS/SCADA dengan Malware Khusus

Pemerintah AS pada hari Rabu memperingatkan aktor negara-bangsa yang menyebarkan malware khusus untuk mempertahankan akses ke sistem kontrol industri (ICS) dan perangkat kontrol pengawasan dan akuisisi information (SCADA).

“Aktor APT telah mengembangkan alat yang dibuat khusus untuk menargetkan perangkat ICS/SCADA,” beberapa agensi AS dikatakan dalam keadaan waspada. “Alat memungkinkan mereka untuk memindai, kompromi, dan mengontrol perangkat yang terpengaruh setelah mereka membuat akses awal ke jaringan teknologi operasional (OT).”

Penasihat federal bersama datang dari Departemen Energi AS (DoE), Badan Keamanan Cybersecurity dan Infrastruktur (CISA), Badan Keamanan Nasional (NSA), dan Biro Investigasi Federal (FBI).

Alat yang dibuat khusus secara khusus dirancang untuk memilih pengontrol logika terprogram (PLC) Schneider Electrical, PLC OMRON Sysmac NEX, dan server Open Platform Communications Unified Structure (OPC UA).

Selain itu, aktor yang tidak disebutkan namanya dikatakan memiliki kemampuan untuk menyusup ke workstation teknik berbasis Home windows di seluruh jaringan TI dan OT dengan memanfaatkan eksploitasi yang membahayakan driver motherboard bertanda ASRock dengan kerentanan yang diketahui (CVE-2020-15368).

Keamanan cyber

Tujuannya, kata badan-badan tersebut, adalah untuk memanfaatkan akses ke sistem ICS untuk meningkatkan hak istimewa, bergerak secara lateral di dalam jaringan, dan menyabotase fungsi-fungsi penting misi di lingkungan gasoline alam cair (LNG) dan tenaga listrik.

Perusahaan keamanan siber industri Dragos, yang telah melacak malware dengan nama “PIPEDREAM” sejak awal 2022, menggambarkannya sebagai “kerangka serangan ICS modular yang dapat dimanfaatkan musuh untuk menyebabkan gangguan, degradasi, dan bahkan mungkin kehancuran tergantung pada goal dan lingkungan.”

CEO Dragos Robert M. Lee dikaitkan malware ke aktor negara yang dijuluki CHERNOVITE, menilai dengan keyakinan tinggi bahwa toolkit destruktif belum digunakan dalam serangan dunia nyata, menjadikannya mungkin pertama kalinya “kemampuan dunia maya industri telah ditemukan *sebelum* penyebarannya untuk tujuan yang dimaksudkan. efek.”

PIPEDREAM fitur serangkaian lima komponen untuk mencapai tujuannya, memungkinkannya melakukan pengintaian, membajak perangkat goal, mengutak-atik logika eksekusi pengontrol, dan mengganggu PLC, yang secara efektif menyebabkan “hilangnya keselamatan, ketersediaan, dan kendali lingkungan industri.”

Malware serbaguna ini juga diketahui memanfaatkan CODESYS, lingkungan pengembangan pihak ketiga untuk aplikasi pengontrol pemrograman dan yang telah ditemukan mengandung sebanyak 17 berbeda kerentanan keamanan dalam satu tahun terakhir saja.

“Kemampuan untuk memprogram ulang dan berpotensi menonaktifkan pengontrol keselamatan dan pengontrol otomatisasi mesin lainnya kemudian dapat dimanfaatkan untuk menonaktifkan sistem shutdown darurat dan kemudian memanipulasi lingkungan operasional ke kondisi yang tidak aman,” Dragos memperingatkan.

Keamanan cyber

Bertepatan dengan pengungkapan tersebut adalah laporan lain dari firma intelijen ancaman Mandiant, yang mengungkap apa yang disebutnya sebagai “satu set alat serangan berorientasi sistem kontrol industri (ICS) baru” yang ditujukan untuk perangkat otomatisasi mesin dari Schneider Electrical dan Omron.

Malware yang disponsori negara, yang diberi nama INCONTROLLERdirancang untuk “berinteraksi dengan peralatan industri tertentu yang tertanam dalam berbagai jenis mesin yang digunakan di berbagai industri” melalui protokol jaringan industri seperti OPC UA, Modbus, dan CODESYS.

Namun, masih belum jelas bagaimana lembaga pemerintah serta Dragos dan Mandiant menemukan malware tersebut. Temuan ini muncul sehari setelah perusahaan keamanan siber Slovakia ESET merinci penggunaan versi yang ditingkatkan dari Malware industri dalam serangan siber yang gagal terhadap penyedia energi yang tidak disebutkan namanya di Ukraina minggu lalu.

“INCONTROLLER [aka PIPEDREAM] mewakili kemampuan serangan cyber yang sangat langka dan berbahaya,” kata Mandiant. “Ini sebanding dengan Triton, yang berusaha menonaktifkan sistem keamanan industri pada tahun 2017; Industri, yang menyebabkan pemadaman listrik di Ukraina pada tahun 2016; dan Stuxnetyang menyabotase program nuklir Iran sekitar tahun 2010.”

Untuk mengurangi potensi ancaman dan mengamankan perangkat ICS dan SCADA, agensi tersebut memuji organisasi untuk menegakkan otentikasi multi-faktor untuk akses jarak jauh, mengubah kata sandi secara berkala, dan terus-menerus waspada terhadap indikator dan perilaku berbahaya.



Total
0
Shares
Leave a Reply

Your email address will not be published.

Related Posts