Iran Disyaki Meretas Syarikat Tenaga Eropah | VPNoverview.com

Kumpulan penggodam yang disokong negara yang berpusat di Iran disyaki telah menggodam sebuah syarikat Tenaga Eropah. Kumpulan ini dipercayai telah menggunakan Remote Access Trojan (RAT) yang disebut PupyRAT dalam serangan mereka.


Apa itu PupyRAT

Pupy adalah RAT sumber terbuka yang ditulis terutamanya dalam ular sawa yang dapat memberikan akses penuh kepada penyerang ke sistem korban. Ia adalah perisian hasad silang platform dan dengan demikian dapat menyusup ke pelbagai platform iaitu Windows, Linux, OSX dan Android.

Trojan Akses Jauh (RAT) adalah perisian hasad yang membolehkan penggodam memantau dan mengawal komputer atau rangkaian mangsa. Ia berfungsi seperti program akses jarak jauh yang sah yang sering digunakan oleh sokongan teknikal untuk membantu pelanggan dengan masalah komputer.

Walaupun PupyRAT adalah perisian hasad sumber terbuka, ia terutama berkaitan dengan kempen penggodaman yang disokong oleh negara Iran. Ini terutama berkaitan dengan kumpulan penggodam yang disokong oleh APT 33. APT 33 pernah terlibat dalam serangan lalu terhadap organisasi di sektor tenaga di seluruh dunia.

Bagaimana RAT Diterapkan?

RAT hanya dapat digunakan pada sistem yang sebelumnya dikompromikan. Dalam hal ini, penyelidik tidak tahu bagaimana PupyRAT dikerahkan tetapi percaya ia diedarkan melalui serangan spear-phishing.

Serangan spear-phishing ditujukan kepada satu penerima dan bukannya sebilangan besar penerima seperti serangan phishing biasa. Penjenayah siber memilih sasaran dalam organisasi dan menggunakan media sosial dan maklumat awam lain untuk mengetahui lebih lanjut mengenai potensi mangsa mereka. Mereka kemudian membuat e-mel palsu yang disesuaikan untuk orang itu.

Kempen APT 33 sebelumnya telah melibatkan penyerang memilih mangsa yang berpotensi dan mendapat kepercayaan sebelum akhirnya menghantar dokumen berniat jahat melalui e-mel kepada mereka. Oleh itu, para penyelidik percaya bahawa kemungkinan kaedah penyebaran yang sama digunakan dalam kes ini.

Bukti Pencerobohan terhadap Syarikat Tenaga

Kumpulan Insikt Recorded Future melaporkan semalam bahawa mereka telah menemui bukti pelayan PupyRAT Command and Control (C2) berbual dengan pelayan mel dari akhir November 2019 hingga 5 Januari 2020.

Laporan Kumpulan Insikt terus menerangkan bahawa: “Walaupun metadata sahaja tidak mengesahkan kompromi, kami menilai bahawa jumlah yang tinggi dan komunikasi berulang dari pelayan e-mel yang disasarkan ke PupyRAT C2 cukup untuk menunjukkan kemungkinan pencerobohan.”

Pelayan mel tergolong dalam organisasi sektor tenaga Eropah yang menyelaraskan peruntukan dan sumber sumber tenaga di Eropah. Memandangkan peranan organisasi, serangan ini sangat menarik, terutama mempertimbangkan peningkatan pencerobohan berkaitan Iran terhadap perisian ICS sektor tenaga.

Phil Neray, VP Industrial Cybersecurity di CyberX, berkomentar: “Memandangkan ketergantungan rentas sempadan yang meluas di seluruh infrastruktur tenaga Eropah, ini nampaknya merupakan langkah strategi oleh musuh untuk fokus pada sasaran terpusat untuk mempengaruhi banyak negara di pada masa yang sama, sama dengan nilai strategik menyerang stesen transmisi pusat tunggal dan bukannya banyak pencawang jauh – seperti yang dilakukan oleh pelaku ancaman Rusia dalam serangan grid Ukraine 2016 berbanding serangan 2015 mereka. “

Objektif Penyerang

Para penyelidik percaya bahawa kempen penggodaman terbaru terhadap syarikat Eropah di sektor Tenaga adalah misi pengintaian. Misi ini dipercayai bertujuan mengumpulkan pengetahuan penting mengenai proses loji tenaga dan Sistem Kawalan Industri mereka (ICS). Penyerang juga berusaha untuk mengenal pasti kelemahan dalam proses dan infrastruktur kritikal syarikat.

Priscilla Moriuchi, pengarah pengembangan ancaman strategik di Recorded Future menjelaskan: “Mengaktifkan operasi atau serangan yang merosakkan memerlukan pengintaian selama ini selama berbulan-bulan dan pandangan mengenai tingkah laku pegawai di syarikat-syarikat ini dan memahami bagaimana kemampuan tertentu dapat mempengaruhi maklumat atau pengedaran tenaga sumber. “

Bagi negara-negara seperti Iran, yang disyaki menaja kumpulan penggodam ini, pengetahuan tersebut dapat digunakan terhadap musuh dalam kes konflik. Maklumat tersebut dapat digunakan untuk melancarkan serangan siber untuk melumpuhkan sektor utama musuh, seperti kuasa, air dan pengangkutan.

Dengan ini, adalah menarik untuk mencatat tarikh kempen penggodaman. Ini menunjukkan bahawa kempen penggodaman bermula sebelum ketegangan geopolitik yang disebabkan oleh pembunuhan Jeneral Iran Qassem Soleimani. Akibatnya, serangan siber ini tidak mungkin merupakan serangan balas terhadap pembunuhan Soleimani.

Serangan Sebelumnya terhadap Infrastruktur Kritikal

Serangan terhadap sistem ICS dan infrastruktur kritikal meningkat dalam beberapa tahun kebelakangan. Sebabnya adalah bahawa mereka adalah sasaran yang relatif mudah.

Masalah utama dengan sistem ICS dan infrastruktur kritikal seperti landasan kereta api dan loji janakuasa ialah kebanyakannya dibina sebelum keselamatan siber menjadi pertimbangan. Sebilangan besar sistem ini tidak mempunyai sistem keselamatan dan beberapa sistem ICS masih belum ada. Apabila mereka kemudian dipasang dengan sistem keselamatan, tidak selalu mudah untuk mengetahui di mana lubang telah ditinggalkan. Sebenarnya, banyak sistem ICS, misalnya, penuh dengan kelemahan.

Serangan paling terkenal terhadap infrastruktur kritikal dilakukan pada tahun 2012 menggunakan perisian jahat Stuxnet. Stuxnet adalah worm komputer yang secara khusus menargetkan Programicable Logic Controller (PLC). Ini membolehkan automasi proses dan proses industri untuk mengawal mesin.

Para penyelidik percaya bahawa Stuxnet dikembangkan oleh perisik Amerika dan Israel dan digunakan untuk menyerang kilang nuklear Iran. Kedua-duanya mengumpulkan maklumat dan menghancurkan ribuan sentrifugal yang digunakan untuk memperkaya uranium.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me