Menelisik Kekuatan Serangan Cyber Iran, Mampu Merusak AS?
Grafik. | ZDNet
Cyberthreat.id – Apakah ada hubungannya antara ketegangan Amerika Serikat dan Iran dengan sebuah malware yang menyerang Bapco, sebuah perusahaan minyak nasional Bahrein? Tentu tidak secara tersurat.
Namun setidaknya, secara tersirat dari sini bisa dilihat bagaimana kemampuan teknis Iran yang canggih ketika akan meluncurkan serangan cyber yang merusak - sesuatu yang dimiliki Departemen Keamanan Dalam Negeri AS.
Baiklah, mari kita runut dari peristiwa peretasan yang disponsori negara Rumania yang telah menyebarkan jenis baru malware penghapus data di jaringan Bapco.
Insiden pada 29 Desember 2020 itu memang tidak memiliki efek jangka panjang seperti yang diinginkan para peretas, karena hanya sebagian armada komputer Bapco yang terkena dampak, dengan perusahaan terus beroperasi setelah peledakan malware.
ZDNet telah belajar dari beberapa sumber bahwa insiden Bapco adalah serangan dunia maya yang dijelaskan dalam peringatan keamanan yang diterbitkan pekan lalu oleh National Cybersecurity Authority Arab Saudi.
Laman ZDNet menuliskan, pejabat Saudi mengirim peringatan kepada perusahaan lokal yang aktif di pasar energi, dalam upaya untuk memperingatkan serangan yang akan datang, dan mendesak perusahaan untuk mengamankan jaringan mereka.
Insiden keamanan Bapco terungkap di tengah meningkatnya ketegangan politik antara AS dan Iran setelah militer AS menewaskan seorang jenderal militer Iran dalam serangan drone pekan lalu.
ZDNet menyebutkan, meskipun insiden Bapco tidak terhubung dengan ketegangan politik AS-Iran saat ini, insiden itu datang untuk menunjukkan kemampuan Iran meluncurkan serangan cyber yang merusak sesuatu yang dimiliki Departemen Keamanan Dalam Negeri AS.
Malware DUSTMAN
Adalah malware baru bernama Dustman yang menyerang Bapco. Menurut sebuah analisis badan keamanan cyber Arab Saudi, Dustman merupakan malware yang dirancang untuk menghapus data pada komputer yang terinfeksi, setelah diluncurkan ke dalam eksekusi.
Dustman mewakili malware penghapus data ketiga yang terkait dengan rezim Teheran. Peretas yang didukung negara Iran memiliki sejarah panjang mengembangkan malware penghapus data.
Malware penghapus data dimulai pada 2012 ketika mereka mengembangkan Shamoon (juga dikenal sebagai Disttrack), sepotong malware yang bertanggung jawab untuk menghapus lebih dari 32.000 PC di perusahaan minyak Saudi Aramco di Arab Saudi. Ini serangan cyber paling terkenal.
Dua versi Shamoon lebih banyak ditemukan pada tahun-tahun berikutnya, Shamoon v2 (digunakan pada 2016 dan 2017) dan Shamoon v3 (digunakan pada 2018 dan 2019).
Menurut sebuah laporan yang diterbitkan oleh IBM X-Force, peretas Iran juga terkait dengan serangan penghapusan data dengan jenis malware kedua yang berbeda bernama ZeroCleare, pertama kali ditemukan di alam liar pada September 2019.
Pejabat CNA Saudi, menyebutkan Dustman tampaknya merupakan versi yang lebih canggih dari ZeroCleare wiper yang ditemukan musim gugur lalu - yang, pada gilirannya, memiliki banyak kesamaan kode dengan Shamoon asli.
Komponen bersama utama antara ketiga strain adalah EldoS RawDisk, toolkit perangkat lunak yang sah untuk berinteraksi dengan file, disk, dan partisi. Tiga strain malware menggunakan berbagai eksploitasi dan teknik untuk meningkatkan akses awal ke tingkat admin, dari mana mereka membongkar dan meluncurkan utilitas EldoS RawDisk untuk menghapus data pada host yang terinfeksi.
Karena Dustman dianggap sebagai versi ZeroCleare yang dikembangkan, sebagian besar kodenya sama, tetapi pejabat CNA Saudi yang menganalisis malware mengatakan Dustman datang dengan dua perbedaan penting:
- Kemampuan destruktif Dustman dan semua driver serta loader yang dibutuhkan dikirimkan dalam satu file yang dapat dieksekusi sebagai lawan dua file, seperti halnya dengan ZeroCleare.
- Dustman menimpa volume, sementara ZeroCleare menghapus volume dengan menimpanya dengan data sampah (0x55)
Penargetan Bapco
Sumber ZDNet mengatakan penargetan Bapco dengan Dustman cocok dengan modus operandi reguler dari peretas yang disponsori negara Iran.
Secara historis, sebelum penyebaran Dustman pada 29 Desember 2020, peretas Iran menggunakan Shamoon dan ZeroCleare secara eksklusif untuk melawan perusahaan di ladang minyak dan gas.
Target masa lalu termasuk perusahaan yang memiliki hubungan dengan rezim Saudi dan Saudi Aramco, perusahaan minyak nasional Arab Saudi.
Iran dan Arab Saudi memiliki hubungan yang tegang sejak tahun 1970-an, karena perbedaan dalam interpretasi Islam, dan persaingan di pasar ekspor minyak.
Bapco adalah perusahaan yang sepenuhnya dimiliki oleh rezim Bahrain, sebuah negara yang telah tegang hubungan politik dengan rezim Teheran, dan yang merupakan mitra bisnis terkenal Saudi Aramco.
Mengenal Serangan Dustman
Hingga saat ini, Bapco tampaknya menjadi satu-satunya korban serangan dengan malware Dustman, meskipun ini tidak berarti malware tidak dikerahkan di jaringan target lain.
Menurut laporan CNA, penyerang tampaknya tidak berencana menyebarkan Dustman pada saat itu, tetapi tampaknya telah memicu proses penghapusan data sebagai upaya terakhir untuk menyembunyikan bukti forensik setelah mereka melakukan serangkaian kesalahan yang akan mengungkapkan kehadiran mereka di jaringan yang diretas.
Sumber yang berbicara dengan ZDNet menyatakan perusahaan Bahrain dikompromikan selama musim panas.
Pejabat CNA Saudi, bersama dengan sumber kami, mengkonfirmasi bahwa titik masuknya adalah server VPN perusahaan.
Laporan CNA mengutip "kerentanan eksekusi jarak jauh dalam alat VPN yang diungkapkan pada Juli 2019" sebagai titik masuk penyerang ke jaringan Bapco.
Sementara para pejabat tidak menyalahkan alat khusus apa pun, mereka kemungkinan besar merujuk pada laporan Devcore yang diterbitkan selama musim panas yang mengungkapkan bug eksekusi jarak jauh di banyak server VPN tingkat perusahaan, seperti yang berasal dari Fortinet, Pulse Secure, dan Palo Alto Jaringan.
Di sinilah sumber ZDNet berbeda pandangan. Beberapa mengatakan peretas mengeksploitasi kerentanan di server Pulse Secure, sementara yang lain mengarahkan telunjuk ke server Fortinet VPN.
Pencarian dengan mesin pencari BinaryEdge menunjukkan sebagian dari jaringan vpn.bapco.net memang menjalankan perangkat Fortinet VPN. Namun, mungkin juga bahwa Bapco menjalankan server Pulse Secure di masa lalu, yang telah dihilangkan.
Bagaimanapun juga, sementara sumber ZDNet berbeda pada server VPN tepat dieksploitasi dalam serangan itu, mereka setuju bahwa ini adalah di mana peretas masuk. Menurut laporan CNA Saudi, peretas memperoleh kendali atas server VPN, kemudian meningkatkan akses mereka ke lokal pengontrol domain.[]
