Malware yang Serang PLN Ukraina Dijual Bebas
Ilustrasi
Cyberthreat.id - Pakar cybersecurity dari Venafi baru-baru ini menemukan teknik malware backdoor baru yang canggih. Teknik Malware baru ini digunakan untuk melumpuhkan pembangkit listrik Ukraina pada 2015, yang kemudian digunakan secara lebih luas oleh komunitas Black Hat.
Perilaku Malware ini secara khusus menargetkan kunci Secure Shell (SSH) yang dirancang untuk mengamankan perintah jarak jauh (remote command) yang digunakan untuk komunikasi antar mesin.
Satu saja kunci SSH yang dikompromikan dapat memungkinkan penyerang untuk mencapai sistem atau infrastruktur kritis guna menyebarkan malware atau sabotase. Mereka, para penyerang, tetap tidak terdeteksi.
Sebagai bentuk pemutakhiran dan modifikasi Malware ini, penyerang dapat menambahkan daftar penyerang kunci SSH ke daftar file kunci resmi di mesin korban. Artinya, penyerang baru dapat ditambahkan sebagai kunci terpercaya atau seolah resmi.
Teknik lain yang digunakan malware ini adalah memaksa SSH yang memiliki otentikasi lemah untuk mendapatkan akses dan bergerak secara lateral di seluruh jaringan sistem.
"Teknik-teknik tersebut telah diuji dan diverifikasi selama setahun terakhir oleh TrickBot, kampanye cryptomining CryptoSink, Linux Worm, dan Skidmap," tulis peneliti Venafi dilansir Cyware Hacker News, Kamis (13 Februari 2020).
Meski demikian, para peneliti mengingatkan bahwa server SSH backdoor yang digunakan oleh geng BlackEnergy, serangan yang menyebabkan pemadaman listrik massal di beberapa bagian Ukraina tahun 2015, memiliki kemampuan lebih hebat dan jauh melampaui kemampuan Malware baru ini.
Kunci SSH
Kunci SSH adalah salah satu komponen paling penting dalam sistem otentikasi pengguna jarak jauh saat ini. Fakta inilah yang membuatnya sangat berbahaya dan merupakan senjata ampuh jika berada di tangan yang salah.
Yana Blachman, spesialis intelijen ancaman di Venafi mengatakan, sampai saat ini hanya kelompok hacker yang paling canggih dan dibiayai dengan baik yang memiliki kemampuan mengelola dan mengolah Malware backdoor ini.
"Sekarang, kami melihat efek 'menetes-turun', di mana kemampuan SSH menjadi komoditas dan digunakan orang jahat," ujar Blachman.
Dengan membuat kunci SSH sebagai komoditas berharga, para penyerang akan berusaha untuk menghasilkan uang untuk backdoor yang berhasil mereka akses. Caranya dengan menjualnya melalui saluran khusus untuk penyerang yang lebih canggih dan disponsori, termasuk ancaman dari pelaku yang didukung negara-bangsa (state-nation).
"Dalam kasus serupa, geng TrickBot terlihat menjual “bot-as-a-service” ini kepada hacker Korea Utara."
Organisasi/perusahaan atau infrastruktur kritis harus memiliki visibilitas yang jelas tentang bagaimana sistem mereka berjalan dan memberikan perlindungan untuk semua kunci SSH resmi di perusahaan. Tujuan utamanya untuk mencegah agar sistem tidak dibajak.
Infrastruktur keamanan harus mampu menahan upaya penyerang untuk memasukkan identitas mesin SSH jahat ke dalam sistem dengan tujuan memblokir para penyerang dengan secepatnya.
