Mengenal Triton yang Dijuluki Malware Paling Mematikan

Cyberthreat.id - Pemerintah Amerika Serikat baru-baru ini memberikan sanksi  terhadap lembaga penelitian milik pemerintah Rusia karena perannya dalam mengembangkan malware Triton. (Baca: Terlibat Serangan Siber Mematikan Gunakan Malware Triton, Amerika Beri Sanksi Lab Rusia ).

Triton merupakan malware berbahaya yang menargetkan Sistem Kontrol Industri (ICS) dan dapat membahayakan manusia. Karena itu, Triton dijuluki malware paling mematikan. Sama seperti kampanye Stuxnet, malware ini diyakini dapat merusak sistem  yang mengelola proses industri skala besar, salah satunya meledakkan pabrik kimia.

Bagaimana Triton bekerja?
Perusahaan antivirus McAfee dalam temuannya mengatakan , Malware ini merupakan jenis langkah yang muncul di Timur Tengah dan menargetkan salah satu perusahaan petrokimia. Populer dengan nama Triton, malware ini juga punya nama lain: Trisis dan HatMan.

Menurut Peneliti keamanan dan ancaman McAfee, Thomas Roccia, Triton menyerang sistem instrumentasi keselamatan (SIS), komponen penting yang telah dirancang untuk melindungi keselamatan  manusia saat bekerja. Sistem kontrol industri ini dirancang untuk memantau kinerja sistem kritis dan mengambil tindakan perbaikan jika mendeteksinya adanya kondisi tidak aman.

Dalam kasus ini, sistem yang ditargetkan Triton adalah Schneider Triconex SIS, yang merupakan sistem kontrol independen yang memantau kinerja sistem kritis, yang mampu mengambil tindakan secara otomatis, jika terdeteksi risiko. Pengontrol keamanan Triconex digunakan di 18.000 pabrik (nuklir, kilang minyak dan gas, pabrik kimia, dll.).

"Vektor awal infeksi masih belum diketahui, tetapi kemungkinan besar itu adalah serangan phishing," ungkap Roccia dalam posting blog McAfee.

Roccia mengatakan, serangan pada SIS memerlukan pemahaman proses tingkat tinggi (dengan menganalisis dokumen, diagram, konfigurasi perangkat, dan lalu lintas jaringan yang diperoleh). Untuk memperoleh akses ke jaringan, mungkin melalui spear phishing, menurut penyelidikan. Setelah infeksi awal, penyerang pindah ke jaringan utama untuk mencapai jaringan ICS dan menargetkan pengontrol SIS.

Setelah berhasil mendapatkan akses jarak jauh, aktor dibalik Triton akan bergerak untuk mengganggu, menurunkan, atau menghancurkan proses industri. Untuk berkomunikasi dengan pengontrol SIS, mereka akan membuat kode ulang protokol komunikasi TriStation pada port UDP / 1502. Langkah ini menunjukkan bahwa mereka menginvestasikan waktu untuk merekayasa balik produk Triconex.

Dalam investigasi lanjutan yang dilakukan oleh beberapa perusahaan keamanan, terungkap bahwa kerangka kerja malware kompleks yang menyematkan kode shell PowerPC (arsitektur Triconex) dan implementasi protokol komunikasi eksklusif TriStation. Malware tersebut memungkinkan penyerang untuk berkomunikasi dengan pengontrol keamanan dan memanipulasi memori sistem dari jarak jauh untuk memasukkan kode shell, bisa dikatakan mereka sepenuhnya mengendalikan target.

"Namun, karena serangan itu tidak berhasil, ada kemungkinan muatan, tahap akhir serangan ini hilang. Ada kemungkinan penyerang tidak punya waktu untuk meluncurkan tahap terakhir, jika muatan terakhir telah dikirim, konsekuensinya bisa menjadi bencana," tambah Roccia.

Mengapa menargetkan SIS?
Menurut Tim Respon Symantec, salah satu alasan Triton menargetkan SIS karena, berpotensi menyebabkan gangguan pada organisasi yang ditargetkan yang paling buruk bisa memfasilitasi sabotase kerja mesin.

Dengan mengganggu pengoperasian SIS, penyerang dapat menyebabkan peralatan tidak berfungsi dan mematikan operasi di pabrik. Skenario kasus terburuk adalah serangan di mana malfungsi SIS, tidak mendeteksi peristiwa yang tidak aman dan gagal mencegah kecelakaan industri.

Menurut tim Tweak Library, melalui Triton, aktor dibalik serangan ini akan dimungkinkan untuk memprogram ulang logika SIS sedemikian rupa sehingga menghentikan proses yang berjalan dalam keadaan aman. Pengaturan seperti itu tidak akan menyebabkan kerusakan fisik tetapi pasti organisasi harus menghadapi kerugian finansial karena mesin tidak bekerja.

Selain itu, mereka juga dapat memprogram ulang logika SIS dan menyebabkan kerusakan parah yang mengancam nyawa dengan membiarkan kondisi tidak aman berjalan atau dengan sengaja mengubah proses untuk mencapai kondisi tidak aman terlebih dahulu.

"Penyerang menggunakan Triton segera setelah mendapatkan akses ke sistem SIS, menunjukkan bahwa mereka telah membuat dan menguji alat yang akan membutuhkan akses ke perangkat keras dan perangkat lunak yang tidak tersedia secara luas," ungkap Tim Tweak Library.

Perusahaan keamanan FireEye menilai tujuan jangka panjang penyerang adalah mengembangkan kemampuan untuk menimbulkan konsekuensi fisik. Hal ini berdasarkan pada fakta bahwa penyerang pada awalnya mendapatkan pijakan yang dapat diandalkan di DCS dan dapat mengembangkan kemampuan untuk memanipulasi proses atau mematikan pabrik, tetapi malah melanjutkan untuk membahayakan sistem SIS.

Mengompromikan sistem DCS dan SIS akan memungkinkan penyerang untuk mengembangkan dan melakukan serangan yang menyebabkan jumlah kerusakan maksimum yang diizinkan oleh pengamanan fisik dan mekanis yang ada," ungkap FireEye.

Atribusi APT
Dalam sebuah laporan pada akhir 2017,  FireEye meyakini jika aktor dibalik Triton merupakan kelompok yang disponsori negara, meskipun ketika itu belum dapat memastikan kelompok mana yang berada di balik serangan ini.

"Hal tersebut terlihat dari penargetan infrastruktur kritis serta kegigihan penyerang, kurangnya tujuan moneter yang jelas, dan sumber daya teknis yang diperlukan," ungkap FireEye.

Menurut FireEye, aktor dibalik malware tersebut menyebarkan Triton tidak lama setelah mendapatkan akses ke sistem SIS, menunjukkan bahwa mereka telah membuat dan menguji alat yang akan membutuhkan akses ke perangkat keras dan perangkat lunak yang tidak tersedia secara luas.

Selain itu, penargetan infrastruktur penting untuk mengganggu, menurunkan, atau menghancurkan sistem konsisten dengan berbagai aktivitas penyerangan dan pengintaian yang dilakukan secara global oleh aktor negara bangsa Rusia, Iran, Korea Utara, AS, dan Israel.

Langkah Mitigasi
Menurut Roccia, saat ini malware ICS menjadi lebih agresif dan canggih. Rekomendasi keamanan jaringan dapat dilakukan seperti biasa misalnya melakukan penambalan kerentanan, kata sandi kompleks, kontrol identifikasi, alat keamanan, dll. Namun sistem industri juga memerlukan prosedur khusus karena kepentingannya. Jaringan industri harus dipisahkan dari jaringan bisnis umum, dan setiap mesin yang terhubung ke proses industri harus dipantau secara cermat dengan menggunakan kontrol akses yang ketat dan daftar putih aplikasi.

Lebih lanjut, ada beberapa rekomendasi keamanan yang bisa dilakukan seperti;

• Pisahkan akses fisik dan logis ke jaringan ICS dengan otentikasi yang kuat, termasuk kata sandi yang kuat dan faktor ganda, pembaca kartu, kamera pengintai, dll.
• Gunakan DMZ dan firewall untuk mencegah lalu lintas jaringan lewat antara perusahaan dan jaringan ICS.
• Menerapkan langkah-langkah keamanan yang kuat pada perimeter jaringan ICS, termasuk manajemen patch, menonaktifkan port yang tidak digunakan, dan membatasi hak istimewa pengguna ICS.
•  Catat dan pantau setiap tindakan di jaringan ICS untuk mengidentifikasi titik kegagalan dengan cepat.
• Jika memungkinkan, terapkan redundansi pada perangkat penting untuk menghindari masalah besar.
• Mengembangkan kebijakan keamanan yang kuat dan rencana respons insiden untuk memulihkan sistem selama insiden.
• Melatih karyawan dengan simulasi respons insiden dan kesadaran keamanan.[]

Editor: Yuswardi A. Suud