Iran Diduga Meretas Perusahaan Energi Eropa | VPNoverview.com

Sebuah kelompok peretasan yang didukung negara yang berbasis di Iran diduga telah meretas perusahaan Energi Eropa. Kelompok ini diyakini telah menggunakan Remote Access Trojan (RAT) yang disebut PupyRAT dalam serangan mereka.


Apa itu PupyRAT?

Pupy adalah RAT sumber terbuka yang ditulis terutama dalam python yang dapat memberikan penyerang akses penuh ke sistem korban. Ini adalah potongan lintas platform dari malware dan dengan demikian dapat menyusup ke beberapa platform yaitu Windows, Linux, OSX dan Android.

Remote Access Trojan (RAT) adalah malware yang memungkinkan peretas untuk memantau dan mengontrol komputer atau jaringan korban. Ini berfungsi seperti program akses jarak jauh yang sah yang sering digunakan oleh dukungan teknis untuk membantu pelanggan dengan masalah komputer.

Meskipun PupyRAT adalah sumber malware yang bersifat open-source, ia terutama dikaitkan dengan kampanye peretasan yang didukung negara Iran. Ini terutama terkait dengan kelompok peretasan yang didukung negara APT 33. APT 33 telah terlibat dalam serangan masa lalu terhadap organisasi di sektor energi di seluruh dunia.

Bagaimana RAT Dikerahkan?

RAT hanya dapat digunakan pada sistem yang sebelumnya dikompromikan. Dalam hal ini, para peneliti tidak tahu bagaimana PupyRAT digunakan tetapi percaya itu didistribusikan melalui serangan phishing tombak.

Serangan tombak phishing ditujukan pada satu penerima dan bukan penerima dalam jumlah besar seperti serangan phishing biasa. Penjahat dunia maya memilih target dalam suatu organisasi dan menggunakan media sosial dan informasi publik lainnya untuk mempelajari lebih lanjut tentang calon korban mereka. Mereka kemudian membuat email palsu yang dibuat khusus untuk orang itu.

Kampanye APT 33 sebelumnya telah melibatkan penyerang memilih calon korban dan mendapatkan kepercayaan mereka sebelum akhirnya mengirimi mereka dokumen jahat melalui email. Akibatnya, para peneliti percaya bahwa ada kemungkinan bahwa metode penyebaran yang sama digunakan dalam kasus ini.

Bukti Intrusi pada Perusahaan Energi

Insikt Group yang Tercatat di Masa Depan melaporkan kemarin bahwa mereka telah menemukan bukti dari server Command and Control (C2) PupyRAT yang sedang mengobrol dengan server surat dari akhir November 2019 hingga 5 Januari 2020.

Laporan Insikt Group selanjutnya menjelaskan bahwa: “Walaupun metadata saja tidak mengkonfirmasi kompromi, kami menilai bahwa volume tinggi dan komunikasi berulang dari server surat yang ditargetkan ke PupyRAT C2 cukup untuk mengindikasikan kemungkinan gangguan.”

Server email milik organisasi sektor energi Eropa yang mengoordinasikan alokasi dan sumber daya sumber daya Energi di Eropa. Mengingat peran organisasi, serangan ini menjadi perhatian khusus, terutama mengingat peningkatan intrusi terkait Iran pada perangkat lunak ICS sektor energi.

Phil Neray, VP Industrial Cybersecurity di CyberX, berkomentar: “Mengingat ketergantungan lintas-batas yang luas di seluruh infrastruktur energi Eropa, ini tampaknya merupakan langkah strategis oleh musuh untuk fokus pada target terpusat untuk berdampak pada banyak negara di waktu yang sama, mirip dengan nilai strategis menyerang satu stasiun transmisi pusat daripada beberapa gardu terpencil – seperti yang dilakukan aktor ancaman Rusia dalam serangan grid Ukraina 2016 dibandingkan dengan serangan mereka pada 2015. ”

Tujuan Penyerang

Para peneliti percaya bahwa kampanye peretasan terbaru pada perusahaan-perusahaan Eropa di sektor Energi adalah misi pengintaian. Misi ini diyakini bertujuan untuk mengumpulkan pengetahuan penting tentang proses pembangkit energi dan Sistem Kontrol Industri (ICS). Penyerang juga mencari untuk mengidentifikasi kelemahan dalam proses perusahaan dan infrastruktur kritis.

Priscilla Moriuchi, direktur pengembangan ancaman strategis di Recorded Future menjelaskan: “Mengaktifkan operasi atau serangan destruktif membutuhkan jenis pengintaian dan wawasan selama berbulan-bulan mengenai perilaku pejabat di perusahaan-perusahaan ini dan memahami bagaimana kemampuan tertentu dapat memengaruhi informasi atau distribusi energi sumber daya. “

Untuk negara-negara seperti Iran, yang dicurigai mensponsori kelompok peretasan ini, pengetahuan tersebut dapat digunakan untuk melawan musuh dalam kasus konflik. Informasi ini dapat digunakan untuk meluncurkan serangan siber untuk melumpuhkan sektor-sektor utama musuh, seperti listrik, air dan transportasi..

Dengan mengingat hal ini, menarik untuk mencatat tanggal kampanye peretasan. Ini menunjukkan bahwa kampanye peretasan dimulai sebelum ketegangan geopolitik yang disebabkan oleh pembunuhan Jenderal Iran Qassem Soleimani. Akibatnya, serangan siber ini tidak mungkin menjadi serangan pembalasan atas pembunuhan Soleimani.

Serangan Sebelumnya pada Infrastruktur Kritis

Serangan pada sistem ICS dan infrastruktur kritis telah meningkat dalam beberapa tahun terakhir. Alasan untuk ini adalah bahwa mereka adalah target yang relatif mudah.

Masalah utama dengan sistem ICS dan infrastruktur kritis seperti kereta api dan pembangkit listrik adalah bahwa sebagian besar dibangun sebelum keamanan siber menjadi pertimbangan. Banyak dari ini tidak memiliki sistem keamanan dan beberapa sistem ICS masih belum. Ketika mereka kemudian dilengkapi dengan sistem keamanan, tidak selalu mudah untuk mengetahui di mana lubang telah ditinggalkan. Bahkan, banyak sistem ICS, misalnya, penuh dengan kerentanan.

Serangan paling terkenal terhadap infrastruktur kritis dilakukan pada 2012 menggunakan malware Stuxnet. Stuxnet adalah worm komputer yang secara khusus menargetkan Programmable Logic Controllers (PLCs). Ini memungkinkan otomatisasi proses dan proses industri untuk mengontrol permesinan.

Para peneliti percaya bahwa Stuxnet dikembangkan oleh intelijen Amerika dan Israel dan digunakan untuk menyerang kilang nuklir Iran. Keduanya mengumpulkan intelijen dan menghancurkan ribuan sentrifugal yang digunakan untuk memperkaya uranium.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me