Ditulis olehSean Lyngaas
Para peretas di balik beberapa intrusi organisasi industri yang paling berdampak dalam lima tahun terakhir telah dengan cermat mencari cara untuk beralih dari utilities klik disini beli jaringan TI fasilitas cek disini ke komputer yang lebih sensitif yang berinteraksi dengan mesin.
Sebelum dugaan peretas Rusia memutus listrik di Ukraina pada tahun 2015, misalnya, mereka menghabiskan berbulan-bulan memetakan jaringan komputer utilitas dan mengumpulkan kredensial pekerja jaringan. Dan peretas yang memicu penutupan pabrik petrokimia Saudi pada 2017 dengan apa yang disebut malware Triton dikenal karena menggunakan lusinan alat berbeda untuk beli disini mempertahankan akses ke TI dan jaringan industri.
Ketika peretas yang disponsori negara terus menyelidiki infrastruktur AS, para ahli keamanan siber secara teratur meniru serangan penting itu hari ini untuk masuk ke jaringan klien mereka untuk melindungi mereka. Contoh alat terbaru berasal dari Mandiant, unit respons insiden FireEye, yang minggu ini mempublikasikan teknik yang digunakan untuk menyusup ke sistem kontrol industri utilitas Amerika Utara dan mematikan salah satu smart meter-nya.
Dengan tingkat akses itu, penyerang dalam posisi yang sama bisa memutuskan beberapa meter pintar pada cek saat yang sama, para peneliti Mandiant mengatakan kepada CyberScoop. Para peneliti menolak untuk berbagi informasi lebih lanjut tentang klien, tetapi mengatakan utilitas itu bertanggung jawab klik atas "lingkungan smart grid di seluruh negara bagian."
Mempersiapkan operasi peretasan tingkat lanjut secara memadai membutuhkan kreativitas. Dengan go public dengan rincian latihan mereka, peneliti Mandiant mungkin menginspirasi ahli keamanan lainnya merancang tes "tim merah" mereka sendiri, atau mereka yang meniru musuh, untuk fasilitas industri.
Seperti insiden di pabrik Saudi, para peneliti Mandiant mengatakan, peretasan mereka terhadap utilitas Amerika Utara dimulai dengan pelanggaran jaringan TI yang menghadap ke luar dan diikuti oleh "rantai serangan yang ditargetkan untuk mencapai tujuan berisiko tinggi tertentu di lingkungan [teknologi operasional]." Mereka juga mengintai karyawan tingkat tinggi dari utilitas yang bertanggung jawab mengelola firewall dan operasi pengukuran cerdas, tools seperti yang mungkin dilakukan oleh musuh yang disponsori negara.
Setelah mengakses jaringan perusahaan utilitas, para peneliti Mandiant menggunakan alat peretasan yang tersedia untuk umum, seperti Mimikatz, untuk mendapatkan hak istimewa yang lebih besar di jaringan. Mereka akhirnya menggunakan server komputer yang mengelola patch perangkat lunak untuk diam-diam bergerak antara jaringan TI utilitas dan jaringan teknologi operasional yang lebih sensitif yang berisi sistem kontrol industri.
Latihan ini memuncak pada spesialis Mandiant mencuri kredensial login untuk portal "antarmuka mesin manusia" dan mengeluarkan perintah untuk memutuskan meteran pintar.
Pengungkapan peretasan smart meter terjadi ketika utilitas AS terus belajar dari dugaan kampanye spionase Rusia yang mengeksploitasi perangkat lunak yang dibuat oleh kontraktor federal SolarWinds. Sementara upaya mata-mata itu tampaknya tidak menargetkan sektor listrik, ratusan utilitas mengunduh perangkat lunak berbahaya yang digunakan Rusia sebagai kepala pantai ke dalam jaringan. Ini adalah jenis kompromi rantai pasokan yang rumit yang dimiliki oleh regulator grid Amerika Utara pada tahun 2019.
Sementara para ahli industri menganggap peretasan di Ukraina dan Arab Saudi sebagai bagian lanjutan dari sabotase industri, latihan kerja sama merah dapat membantu mengungkap serangan dan mengingatkan organisasi bahwa kemampuan itu tidak jarang seperti yang mereka pikirkan.
Pabrik petrokimia Saudi, misalnya, "memiliki beberapa kelemahan keamanan yang signifikan," kata Julian Gutmanis, seorang spesialis cybersecurity industri yang menanggapi insiden tersebut. "Tim merah kemungkinan akan bisa masuk dengan cukup mudah."