Kelompok peretasan Sandworm mencoba menjatuhkan penyedia energi besar Ukraina dengan memutuskan gardu listriknya dengan varian baru malware Industroyer untuk sistem kontrol industri (ICS) dan versi baru pemusnah data CaddyWiper perangkat lunak jahat.
Pelaku ancaman menggunakan versi malware Industroyer ICS yang disesuaikan untuk gardu listrik tegangan tinggi target dan kemudian mencoba menghapus jejak serangan dengan mengeksekusi CaddyWiper dan keluarga malware penghapus data lainnya yang dilacak sebagai Orcshred, Soloshred, dan Awfulshred untuk Linux dan sistem Solaris.
Para peneliti di ESET yang berkolaborasi dengan Tim Tanggap Darurat Komputer Ukraina (CERT) untuk memulihkan dan melindungi jaringan yang diserang mengatakan bahwa mereka tidak tahu bagaimana penyerang membahayakan lingkungan atau bagaimana mereka berhasil berpindah dari jaringan TI ke lingkungan ICS.
Dalam pengumuman hari ini, CERT-UA mencatat bahwa tujuan pelaku ancaman adalah “menonaktifkan beberapa elemen infrastruktur.”
Malware ICS yang digunakan dalam serangan itu sekarang dilacak saat Industroyer2 dan ESET menilai “dengan keyakinan tinggi” bahwa malware itu dibuat menggunakan kode sumber Industroyer yang digunakan pada tahun 2016 untuk memutus aliran listrik di Ukraina dan dikaitkan dengan kelompok peretasan Rusia yang disponsori negara Sandworm .
CERT-UA mengatakan bahwa “implementasi rencana jahat [Sandworm] sejauh ini telah dicegah” sementara ESET mencatat dalam laporan teknis tentang malware yang digunakan dalam serangan ini bahwa “Penyerang Sandworm melakukan upaya untuk menyebarkan malware Industroyer2 terhadap tegangan tinggi gardu listrik di Ukraina.”
Peneliti ESET mengatakan bahwa Industroyer2 sangat dapat dikonfigurasi dan dilengkapi dengan konfigurasi terperinci yang di-hardcode, yang mengharuskannya untuk dikompilasi ulang untuk setiap lingkungan korban baru.
Para peneliti mengatakan bahwa stempel waktu Portabel Executable dari Industroyer2 menunjukkan bahwa itu dikompilasi pada 23 Maret, yang menunjukkan bahwa serangan itu telah direncanakan setidaknya selama dua minggu.
Alat tambahan yang digunakan dalam serangan termasuk skrip PowerGap PowerShell yang digunakan untuk menambahkan Kebijakan Grup yang mengunduh muatan dan membuat tugas terjadwal, dan Impacket, yang digunakan untuk eksekusi perintah jarak jauh.
Komponen worm dalam serangan ini – skrip Bash bernama sc.sh – mencari jaringan yang dapat diakses (melalui ip route atau ifconfig) dan mencoba untuk terhubung ke semua host yang tersedia melalui SSHH (TCP port 22, 2468, 24687, 522) menggunakan kredensial di daftar musuh yang ditambahkan dalam skrip.
Industroyer, juga dikenal sebagai CrashOverride, pertama kali diambil sampelnya dan dianalisis pada tahun 2017, dengan ESET menyebutnya sebagai “ancaman terbesar bagi sistem kontrol industri sejak Stuxnet”.
Varian baru yang digunakan minggu lalu pada penyedia energi Ukraina adalah evolusi dari malware asli yang digunakan dalam serangan pemadaman listrik 2016 di Ukraina.
Industroyer2 hanya menggunakan protokol IEC-104 untuk berkomunikasi dengan peralatan industri, sedangkan sebelumnya, mendukung beberapa protokol ICS.
Ini lebih dapat dikonfigurasi daripada strain asli dan pengaturan, termasuk IOA, batas waktu, dan ASDU, disimpan sebagai string yang dilewatkan melalui rutinitas komunikasi IEC-104.
Menurut analisis ESET, sampel yang baru-baru ini dianalisis berkomunikasi dengan delapan perangkat secara bersamaan.
Tindakan pasti yang dilakukan oleh Industroyer2 setelah sambungannya ke relai masih diperiksa, tetapi telah ditentukan bahwa ia menghentikan proses sah yang dilakukan peralatan industri dalam operasi standarnya.
Sandworm adalah kelompok ancaman spionase cyber berpengalaman yang telah dikaitkan dengan Unit Militer Rusia 74455 dari Direktorat Intelijen Utama (GRU).
CERT-UA telah berbagi indikator kompromi (aturan Yara, hash file, host, jaringan) untuk membantu mencegah serangan baru dari pelaku ancaman ini.
Sumber : Bleeping Computer
