Kemampuan teknis Iran yang canggih ketika akan meluncur serangan cyber yang merusak - sesuatu yang dimiliki Departemen Keamanan Dalam Negeri AS.
Nemo Ikram | Jumat, 10 Januari 2020 - 11:55 WIB
Cyberthreat.id – Apakah ada hubungannya antara ketegangan Amerika Serikat dan Iran dengan sebuah malware yang menyerang Bapco, sebuah perusahaan minyak nasional Bahrein? Tentu tidak secara tersurat.
Namun setidaknya, secara tersirat dari sini bisa dilihat bagaimana kemampuan teknis Iran yang canggih ketika akan meluncurkan serangan cyber yang merusak - sesuatu yang dimiliki Departemen Keamanan Dalam Negeri AS.
Baiklah, mari kita runut dari peristiwa peretasan yang disponsori negara Rumania yang telah menyebarkan jenis baru malware penghapus data di jaringan Bapco.
Insiden pada 29 Desember 2020 itu memang tidak memiliki efek jangka panjang seperti yang diinginkan para peretas, karena hanya sebagian armada komputer Bapco yang terkena dampak, dengan perusahaan terus beroperasi setelah peledakan malware.
ZDNet telah belajar dari beberapa sumber bahwa insiden Bapco adalah serangan dunia maya yang dijelaskan dalam peringatan keamanan yang diterbitkan pekan lalu oleh National Cybersecurity Authority Arab Saudi.
Laman ZDNet menuliskan, pejabat Saudi mengirim peringatan kepada perusahaan lokal yang aktif di pasar energi, dalam upaya untuk memperingatkan serangan yang akan datang, dan mendesak perusahaan untuk mengamankan jaringan mereka.
Insiden keamanan Bapco terungkap di tengah meningkatnya ketegangan politik antara AS dan Iran setelah militer AS menewaskan seorang jenderal militer Iran dalam serangan drone pekan lalu.
ZDNet menyebutkan, meskipun insiden Bapco tidak terhubung dengan ketegangan politik AS-Iran saat ini, insiden itu datang untuk menunjukkan kemampuan Iran meluncurkan serangan cyber yang merusak sesuatu yang dimiliki Departemen Keamanan Dalam Negeri AS.
Malware DUSTMAN
Adalah malware baru bernama Dustman yang menyerang Bapco. Menurut sebuah analisis badan keamanan cyber Arab Saudi, Dustman merupakan malware yang dirancang untuk menghapus data pada komputer yang terinfeksi, setelah diluncurkan ke dalam eksekusi.
Dustman mewakili malware penghapus data ketiga yang terkait dengan rezim Teheran. Peretas yang didukung negara Iran memiliki sejarah panjang mengembangkan malware penghapus data.
Malware penghapus data dimulai pada 2012 ketika mereka mengembangkan Shamoon (juga dikenal sebagai Disttrack), sepotong malware yang bertanggung jawab untuk menghapus lebih dari 32.000 PC di perusahaan minyak Saudi Aramco di Arab Saudi. Ini serangan cyber paling terkenal.
Dua versi Shamoon lebih banyak ditemukan pada tahun-tahun berikutnya, Shamoon v2 (digunakan pada 2016 dan 2017) dan Shamoon v3 (digunakan pada 2018 dan 2019).
Menurut sebuah laporan yang diterbitkan oleh IBM X-Force, peretas Iran juga terkait dengan serangan penghapusan data dengan jenis malware kedua yang berbeda bernama ZeroCleare, pertama kali ditemukan di alam liar pada September 2019.
Pejabat CNA Saudi, menyebutkan Dustman tampaknya merupakan versi yang lebih canggih dari ZeroCleare wiper yang ditemukan musim gugur lalu - yang, pada gilirannya, memiliki banyak kesamaan kode dengan Shamoon asli.
Komponen bersama utama antara ketiga strain adalah EldoS RawDisk, toolkit perangkat lunak yang sah untuk berinteraksi dengan file, disk, dan partisi. Tiga strain malware menggunakan berbagai eksploitasi dan teknik untuk meningkatkan akses awal ke tingkat admin, dari mana mereka membongkar dan meluncurkan utilitas EldoS RawDisk untuk menghapus data pada host yang terinfeksi.
Karena Dustman dianggap sebagai versi ZeroCleare yang dikembangkan, sebagian besar kodenya sama, tetapi pejabat CNA Saudi yang menganalisis malware mengatakan Dustman datang dengan dua perbedaan penting:
Penargetan Bapco
Sumber ZDNet mengatakan penargetan Bapco dengan Dustman cocok dengan modus operandi reguler dari peretas yang disponsori negara Iran.
Secara historis, sebelum penyebaran Dustman pada 29 Desember 2020, peretas Iran menggunakan Shamoon dan ZeroCleare secara eksklusif untuk melawan perusahaan di ladang minyak dan gas.
Target masa lalu termasuk perusahaan yang memiliki hubungan dengan rezim Saudi dan Saudi Aramco, perusahaan minyak nasional Arab Saudi.
Iran dan Arab Saudi memiliki hubungan yang tegang sejak tahun 1970-an, karena perbedaan dalam interpretasi Islam, dan persaingan di pasar ekspor minyak.
Bapco adalah perusahaan yang sepenuhnya dimiliki oleh rezim Bahrain, sebuah negara yang telah tegang hubungan politik dengan rezim Teheran, dan yang merupakan mitra bisnis terkenal Saudi Aramco.
Mengenal Serangan Dustman
Hingga saat ini, Bapco tampaknya menjadi satu-satunya korban serangan dengan malware Dustman, meskipun ini tidak berarti malware tidak dikerahkan di jaringan target lain.
Menurut laporan CNA, penyerang tampaknya tidak berencana menyebarkan Dustman pada saat itu, tetapi tampaknya telah memicu proses penghapusan data sebagai upaya terakhir untuk menyembunyikan bukti forensik setelah mereka melakukan serangkaian kesalahan yang akan mengungkapkan kehadiran mereka di jaringan yang diretas.
Sumber yang berbicara dengan ZDNet menyatakan perusahaan Bahrain dikompromikan selama musim panas.
Pejabat CNA Saudi, bersama dengan sumber kami, mengkonfirmasi bahwa titik masuknya adalah server VPN perusahaan.
Laporan CNA mengutip "kerentanan eksekusi jarak jauh dalam alat VPN yang diungkapkan pada Juli 2019" sebagai titik masuk penyerang ke jaringan Bapco.
Sementara para pejabat tidak menyalahkan alat khusus apa pun, mereka kemungkinan besar merujuk pada laporan Devcore yang diterbitkan selama musim panas yang mengungkapkan bug eksekusi jarak jauh di banyak server VPN tingkat perusahaan, seperti yang berasal dari Fortinet, Pulse Secure, dan Palo Alto Jaringan.
Di sinilah sumber ZDNet berbeda pandangan. Beberapa mengatakan peretas mengeksploitasi kerentanan di server Pulse Secure, sementara yang lain mengarahkan telunjuk ke server Fortinet VPN.
Pencarian dengan mesin pencari BinaryEdge menunjukkan sebagian dari jaringan vpn.bapco.net memang menjalankan perangkat Fortinet VPN. Namun, mungkin juga bahwa Bapco menjalankan server Pulse Secure di masa lalu, yang telah dihilangkan.
Bagaimanapun juga, sementara sumber ZDNet berbeda pada server VPN tepat dieksploitasi dalam serangan itu, mereka setuju bahwa ini adalah di mana peretas masuk. Menurut laporan CNA Saudi, peretas memperoleh kendali atas server VPN, kemudian meningkatkan akses mereka ke lokal pengontrol domain.[]
Ini untuk menghindari adanya serangan malware ke IP negara tertentu.
Yuswardi A. Suud | Jumat, 10 Januari 2020 - 12:30 WIB
Saling serang antara Iran dan Amerika Serikat mulai menyasar wilayah siber. Pakar keamanan siber Pratama Persadha mengingatkan warga Indonesia juga bisa terkena dampaknya, khususnya bagi mereka yang menggunakan VPN (virtual private network) dari negara-negara yang sedang berkonflik beserta sekutunya.
Dilansir dari kantor berita Antara, Pratama mengatakan agar Indonesia tidak terseret dalam serangan siber, masyarakat perlu menghindari pemakaian VPN (virtual private network) dari negara-negara yang sedang berkonflik beserta sekutunya.
"Pernyataan Trump memperkuat perkiraan, saat ini sedang terjadi cyberwarfare antara kedua negara, yang kemungkinan besar diikuti oleh negara-negara lain maupun kelompok-kelompok tertentu," kata Pratama di Jakarta, Kamis, 9 Januari 2020.
Dalam sejarah pertikaian Iran, AS dan Israel, Pratama mengatakan, selalu melibatkan saling retas, saling serang sistem -- yang paling terkenal adalah serangan stuxnet dari Israel yang menargetkan sistem nuklir Iran.
Texas dilaporkan telah menerima serangan siber lebih dari 10 ribu kali sejak 6 Januari 2020.
Itu sebabnya, kata Pratama, masyarakat Indonesia perlu menghindari penggunaan VPN negara-negara yang sedang berkonflik beserta sekutunya.
Peringatan Pratama cukup beralasan. Pada November 2019 lalu, situs top10vopn.com merilis data yang menyebutkan Indonesia menjadi negara tertinggi di kawasan Asia Pasifik yang mengunduh aplikasi jaringan pribadi virtual (virtual private netwrok/VPN) dalam kurun waktu antara Oktober 2018 hingga September 2018. Tercatat, pengguna Indonesia mengunduh 75,5 juta aplikasi atau mengalami peningkatan 111 persen dibandingkan periode sama tahun sebelumnya.
"Kenapa tidak disarankan menggunakan IP negara berkonflik, hal ini untuk menghindari adanya serangan malware ke IP negara tertentu. Serangan malware massif bisa saja terjadi seperti saat wannacry dan nopetya hadir di pertengahan 2017," kata Pratama.
Dampak yang mungkin akan terasa di Tanah Air, menurut Pratama, lebih kepada perang opini di media sosial.
"Namun mengingat syiah bukan mayoritas muslim di Tanah Air, isu oleh buzzer belum massif sejauh ini. Isu di media sosial banyak bersumber dari media massa mainstream," lanjut dia.
Meski begitu, Pratama meningatkan untuk selalu mengecek dan waspada pada pemakaian teknologi asal AS di instansi pemerintah.
"Ditakutkan serangan kepada raksasa teknologi AS bisa berimbas juga ke para pemakai di tanah air. Dalam hal ini seharusnya BIN dan BSSN sudah mengantisipasi lebih jauh," ujar Pratama.
Serangan kepada Jendral Qassam Solemani, menurut Pratama, bisa terjadi salah satunya karena pengintaian lewat jalur komunikasi, internet dan juga informasi lapangan yang akurat.
"Peristiwa ini juga menjadi pelajaran bahwa dalam situasi seamanan apapun, para pejabat tinggi dan pengawalnya harus melaksankan protap keamanan. Seperti misalnya tidak menyalakan GPS di smartphone dan juga wajib berkomunikasi lewat jalur yang aman," kata Pratama. (sumber: Antaranews)
Ketegangan Iran kontra AS telah berpindah ke ancaman perang siber. Sektor kesehatan dinilai salah satu sasaran empuk untuk merontokkan lawan
Arif Rahman | Jumat, 10 Januari 2020 - 07:05 WIB
Cyberthreat.id - Seorang pakar keamanan siber Amerika Serikat (AS) percaya serangan siber Iran mampu merontokkan infrastruktur kritis AS. Errol Weiss, Chief Security Officer (CSO) Health Information Sharing and Analysis Center (H-ISAC), mengatakan AS harus bersiap dan waspada. AS, kata dia, bisa belajar dari sejarah serangan siber yang pernah dan berhasil dilakukan Iran terhadap beberapa negara lawannya.
"Seperti yang kita ketahui Iran memiliki kecenderungan untuk menargetkan musuhnya dan meluncurkan berbagai kampanye cyber. Jadi kita memiliki banyak sejarah yang bisa dilihat," kata Weiss dilansir Health Care Infosecurity, Rabu (8 Januari 2020).
Weiss mencontohkan serangan "penghapus" (wiper attack) yang dilakukan Iran terhadap jaringan komputer milik Saudi Aramco tahun 2012. Kemudian serangan terhadap kasino Las Vegas Sands pada tahun 2014, serta rangkaian serangan DDoS yang menargetkan bank-bank AS sepanjang tahun 2012 hingga 2013.
"Tentu saja ada kejadian-kejadian di mana sektor kesehatan mengalami kerusakan yang hebat akibat serangan siber, dan Iran pernah melakukannya pada target lain," ujar Weiss.
Untuk mempersiapkan kemungkinan serangan negara-bangsa (nation-state attack), organisasi layanan kesehatan harus menilai cadangan mereka, mempraktikkan respons insiden, memastikan rencana kesinambungan bisnis, melakukan pemindaian kerentanan, dan menerapkan tambalan yang diperbarui.
"Pastikan bahwa organisasi mengambil langkah yang tepat untuk memastikan jaringan mereka aman dan menjamin bahwa mereka bukan target yang mudah."
Sepanjang 2019 AS menghadapi gelombang Ransomware yang sangat merusak dan merugikan. Laporan Emsisoft tahun 2019 menyatakan setidaknya 764 penyedia layanan kesehatan di AS diserang Ransomware. Artinya, kata Weiss, langkah cybersecurity penting lainnya harus diambil organisasi kesehatan setelah meningkatnya ancaman nation-state.
Weiss memiliki pengalaman lebih dari 25 tahun dalam keamanan informasi. Dia adalah ketua bersama kelompok tugas Dewan Koordinasi Sektor Kesehatan dan Kesehatan Masyarakat (Healthcare and Public Health Sector Coordinating Council), sebuah kolaborasi publik/swasta untuk meningkatkan keamanan siber di sektor kesehatan.
Tahun 2019 kelompok tugas ini mengembangkan pedoman untuk membantu industri kesehatan AS berpartisipasi dalam berbagi informasi dunia maya. Weiss juga pernah bekerja di Badan Keamanan Nasional (NSA) melakukan analisis kerentanan sistem pemerintah AS yang sangat rahasia.
Dia juga menciptakan dan mengelola pusat intelijen siber Citi dan merupakan wakil presiden senior di tim keamanan informasi global Bank of America.