Jakarta, CNBC Indonesia – Perusahaan keamanan siber Dragos menemukan malware yang dapat menyerang sistem kontrol industri (ICS). Malware tersebut menyerang ICS dengan melakukan tindakan jahat seperti mematikan pemanas dan air panas di tengah musim dingin.
TechCrunch melaporkan malware tersebut dijuluki FrostyGoop, yang ditemukan di Lviv, Ukraina, pada Januari lalu.
Malware ini ditemukan ketika penghuni di lebih dari 600 gedung apartemen kehilangan pemanas selama dua hari di tengah suhu dingin yang beku.
Dragos mengatakan FrostyGoop hanyalah malware kesembilan yang diketahui yang dirancang untuk menargetkan pengendali industri.
Ia juga merupakan malware pertama yang secara khusus menargetkan Modbus, protokol komunikasi yang ditemukan pada 1979. Modbus sering digunakan dalam lingkungan industri seperti di Ukraina yang diserang FrostyGoop awal tahun ini.
Pusat Situasi Keamanan Siber (CSSC) Ukraina , badan pemerintah negara yang bertugas menangani keamanan digital, berbagi informasi tentang serangan tersebut dengan Dragos setelah menemukan malware pada April tahun ini, beberapa bulan setelah serangan terjadi.
Kode berbahaya tersebut, yang ditulis dalam Golang (bahasa pemrograman Go yang dirancang oleh Google), berinteraksi langsung dengan sistem kontrol industri melalui port internet terbuka (502).
Para hacker kemungkinan memperoleh akses ke jaringan industri Lviv pada April 2023. Dragos mengatakan mereka melangsungkan aksinya dengan memanfaatkan kerentanan yang belum diketahui di router Mikrotik yang menghadap ke luar.
Mereka kemudian memasang alat akses jarak jauh yang menghilangkan kebutuhan untuk memasang malware secara lokal, yang membantu menghindari deteksi.
Hacker menurunkan firmware pengontrol ke versi yang tidak memiliki kemampuan pemantauan untuk membantu menutupi jejak mereka. Alih-alih mencoba melumpuhkan sistem secara keseluruhan, para peretas menyebabkan pengontrol melaporkan pengukuran yang tidak akurat. Sehingga mengakibatkan hilangnya panas di tengah suhu yang tinggi saat itu.
Dragos memiliki kebijakan netralitas yang sudah lama berlaku dalam serangan siber, lebih memilih untuk fokus pada pendidikan tanpa menyalahkan pihak lain.
Akan tetapi, peneliti Dragos mencatat bahwa para penyerang membuka koneksi aman, menggunakan protokol tunneling lapis dua, ke alamat IP yang berbasis di Moskow, Rusia.
“Saya pikir ini lebih merupakan upaya psikologis, yang difasilitasi melalui sarana siber ketika cara kinetik mungkin bukan pilihan terbaik di sini,” kata peneliti Dragos Mark “Magpie” Graham kepada TechCrunch, dikutip dari Engadget, Kamis (25/7/2024).
Lviv berada di bagian barat Ukraina, yang lokasinya jauh lebih sulit diserang Rusia daripada kota-kota di bagian timur.
Dragos memperingatkan bahwa, mengingat betapa umum protokol Modbus di lingkungan industri, FrostyGoop dapat digunakan untuk mengganggu sistem serupa di seluruh dunia.
Perusahaan keamanan tersebut merekomendasikan pemantauan berkelanjutan, dengan mencatat bahwa FrostyGoop dapat menghindari deteksi virus, yang perlu dilakukan pemantauan jaringan untuk menandai ancaman sebelum terjadi.
(dem/dem)
