Rincian peretasan jaringan listrik Ukraina yang belum pernah terjadi sebelumnya

Pada hari Rabu, 23 Desember 2015 pukul 15:30, penduduk Ivano-Frankivsk di Ukraina bagian barat bersiap untuk akhir hari kerja dan akan pulang di jalan-jalan musim dingin. Di pusat kendali perusahaan Prikarpatyeoblenergo , yang mendistribusikan listrik di wilayah tersebut, operator hampir menyelesaikan giliran kerja mereka. Tetapi ketika salah satu dari mereka merapikan kertas di atas meja sebelum menyelesaikan pekerjaan, kursor pada layar komputer bergerak keluar dari tempatnya.

Dispatcher melihat kursor dengan sengaja pindah ke tombol kontrol untuk pemutus sirkuit di gardu regional, lalu menekan tombol untuk membuka jendela dengan sakelar untuk membuat gardu offline. Sebuah kotak dialog muncul di layar dengan permintaan untuk mengkonfirmasi operasi, dan operator tampak tercengang ketika kursor masuk ke jendela ini dan menekan tombol konfirmasi. Dia tahu bahwa di suatu tempat di daerah di luar kota, ribuan rumah baru saja kehilangan cahaya.

Dispatcher meraih mouse dan berusaha keras untuk mendapatkan kembali kendali, tetapi kursor tidak menanggapi manipulasinya. Dia secara independen bergerak ke arah saklar lain, dan sesi otorisasi saat ini di panel kontrol tiba-tiba terganggu. Operator mencoba untuk buru-buru masuk lagi, tetapi kata sandinya tidak lagi berfungsi: para penyerang mengubahnya. Dia hanya bisa melihat layar tanpa daya, di mana yang tidak dikenal mematikan gardu induk, satu demi satu, menghentikan pekerjaan sekitar 30 dari mereka. Mereka tidak berhenti di situ. Selain Prikarpatyeoblenergo, dua perusahaan energi lagi diserang pada saat yang sama, sehingga total gardu penyandang cacat dua kali lebih besar, dan 230.000 penduduk dibiarkan tanpa listrik. Dan seolah-olah itu tidak cukup, para peretas masih mematikan sumber daya cadangan,merampas cahaya dari pengirim di dua dari tiga pusat kendali.

Rencana yang brilian

Peretas yang meretas perusahaan energi Ukraina - kasus pemadaman listrik yang dikonfirmasi pertama di dunia - bukanlah beberapa oportunis yang menguji kemampuan mereka. Sebagai hasil penyelidikan menyeluruh atas insiden tersebut, rincian baru terungkap: jelas bahwa ada ahli strategi yang berkualitas dan rahasia di balik serangan itu, yang dengan hati-hati merencanakan serangan selama berbulan-bulan, pertama melakukan pengintaian, memeriksa jaringan korban, mengambil kredensial controller, dan kemudian meluncurkan serangan serentak pada tiga pusat kendali.

"Itu adalah serangan yang brilian," kata Robert M. Lee, yang membantu dalam penyelidikan, mantan perwira operasi cyber di Angkatan Udara AS, dan salah satu pendiri Dragos Security, sebuah perusahaan yang berspesialisasi dalam melindungi infrastruktur kritis. - Berbicara tentang kecanggihan peretasan, banyak orang selalu fokus pada malware yang digunakan. Tetapi bagi saya, kecanggihan serangan itu terletak pada tingkat logistik dan perencanaan operasi ... dan apa yang terjadi selama itu. Dan ada pekerjaan yang sangat indah. "

Ukraina segera menunjuk Rusia sebagai pemrakarsa serangan itu. Robert Lee menghindar dari menyebut suatu negara, tetapi ia mengatakan bahwa ada perbedaan yang jelas antara berbagai tahap operasi, yang menyiratkan partisipasi peretas dari berbagai tingkat pada berbagai tahap. Oleh karena itu, kemungkinan serangan itu dilakukan dengan kerja sama dari beberapa peserta yang sama sekali berbeda - mungkin penjahat dunia maya dan pemain berskala negara.

"Itu harus tim yang didanai dan terlatih dengan baik ... Tapi itu belum tentu di tingkat negara bagian," katanya. Mungkin pada awalnya penjahat cyber tingkat rendah memperoleh akses awal ke jaringan, dan kemudian mentransfer kendali ke peretas tingkat federal yang lebih berpengalaman.

Satu atau lain cara, tetapi serangan yang berhasil pada jaringan energi menimbulkan pertanyaan tentang keamanan jaringan tersebut di Amerika Serikat, kata para ahli. Anehnya, sistem manajemen Ukraina lebih terlindungi dari serangan seperti itu daripada yang Amerika, karena mereka dipisahkan oleh firewall dari jaringan bisnis. Tetapi bahkan perlindungan semacam itu tidak cukup, karena karyawan dari jarak jauh masuk ke jaringan SCADA (Pengawasan Kontrol dan Akuisisi Data), dari mana subsistem listrik dikendalikan. Pada saat yang sama, otentikasi dua faktor hilang, sehingga mengetahui kredensial pengirim, penyerang dapat mengendalikan sistem kontrol gardu listrik.

Catu daya di kota-kota Ukraina dipulihkan dalam satu hingga enam jam. Tetapi bahkan lebih dari dua bulan setelah serangan itu, pusat-pusat kontrol tidak kembali ke operasi normal, sebuah laporan AS baru-baru ini mengatakan . Pakar keamanan komputer dari Ukraina dan Amerika Serikat mengatakan bahwa peretas telah mengganti firmware pada peralatan penting di 16 gardu, dan sekarang mereka tidak menanggapi perintah dari pusat. Listrik disuplai, tetapi sakelar harus dikontrol dalam mode manual.

Ketika menyerang jaringan Amerika, semuanya dapat berakhir dengan lebih menyedihkan, karena banyak gardu AS tidak memiliki sistem kontrol manual yang berlebihan, yaitu, dalam kasus sabotase seperti itu, akan jauh lebih sulit untuk memulihkan pasokan energi.

Serang Timeline

Beberapa agen AS telah membantu Ukraina dalam menyelidiki serangan itu, termasuk FBI dan Departemen Keamanan Dalam Negeri AS. Para konsultan termasuk ahli Robert Lee dan Michael J. Assante, keduanya mengajar kursus keamanan komputer di Washington SANS Institute . Mereka terkejut bahwa perusahaan-perusahaan energi Ukraina memiliki sistem firewall dan log sistem canggih yang membantu menciptakan kembali kronologi peristiwa - ini tidak sering terlihat ketika menyelidiki serangan terhadap perusahaan komersial, dan bahkan lebih jarang ketika menyerang infrastruktur kritis.

Menurut Lee dan pakar Ukraina yang berpartisipasi dalam penyelidikan, persiapan serangan dimulai musim semi lalu dengan kampanye phishing yang ditujukan pada staf TI perusahaan energi dan administrator sistem. Ada 24 wilayah di Ukraina, 11-27 distrik di setiap wilayah. Setiap daerah memiliki perusahaan sendiri yang mengelola distribusi listrik di jaringan. Email phishing dengan dokumen Word dalam lampiran dikirim ke karyawan dari tiga perusahaan ini. Ketika Anda memulai dokumen, sebuah jendela muncul meminta Anda untuk mengaktifkan makro. Jika pengguna melakukan ini, maka sebuah program bernama BlackEnergy3 diinstal pada komputer dengan pintu belakang untuk akses jarak jauh. Kerentanan dalam Word dan menginstal Trojan melalui makro adalah teknik kuno yang baru-baru ini menjadi populer kembali .

Serangan phishing hanya memungkinkan penyusup mengakses jaringan perusahaan. Untuk masuk ke sistem SCADA, Anda harus menerobos firewall. Selama beberapa bulan, peretas melakukan intelijen. Mereka memperoleh akses ke pengontrol domain Windows, yang mengontrol interaksi pengguna-domain, termasuk proses login pengguna, otentikasi, dan pencarian direktori. Dari sana, mereka mengambil kredensial karyawan, termasuk kata sandi dari layanan VPN yang digunakan oleh karyawan dari jarak jauh untuk mengakses sistem SCADA. Setelah menembus SCADA, peretas mulai perlahan bersiap untuk serangan.

Pertama, mereka mengubah konfigurasi catu daya tak terputus (UPS), yang menyediakan daya cadangan di dua pusat kendali untuk mematikan lampu pada saat yang sama untuk penghuni negara dan operator di perusahaan. Ini adalah tindakan mengerikan dan agresif yang dapat diartikan sebagai "omong kosong besar" bagi perusahaan energi, kata Lee.

Setiap perusahaan memiliki jaringan distribusi listrik sendiri, dan pada tahap intelijen, peretas dengan cermat memeriksa jaringan-jaringan ini. Kemudian mereka menulis versi firmware asli untuk konverter serial-to-Ethernet di gardu induk. Perangkat ini mengirimkan perintah dari pusat kontrol ke gardu induk. Kegagalan konverter membuat remote control dari gardu tidak mungkin. “Pembaruan firmware berbahaya untuk operasi tertentu tidak pernahbelum pernah digunakan sebelumnya, komentar Robert Lee. - Dalam hal serangan, ini sangat keren. Maksudku, pekerjaan yang sangat bagus. "

Omong-omong, model konverter serial-ke-Ethernet yang sama juga digunakan di gardu Amerika.

Berbekal firmware jahat, para peretas siap melancarkan serangan.

Sekitar pukul 15:30 pada tanggal 23 Desember, mereka masuk ke sistem SCADA menggunakan kata sandi orang lain melalui VPN dan mengirim perintah untuk menonaktifkan UPS yang telah dikonfigurasi sebelumnya. Kemudian mereka mulai membuka akses ke gardu induk dan mematikannya satu per satu. Tepat sebelum ini, serangan telepon TDoS diselenggarakan di call center perusahaan energi sehingga konsumen tidak bisa melewati dan menginformasikan operator sebelum pemadaman listrik sebelum waktunya. Robert Lee mencatat bahwa telepon DDoS menunjukkan tingkat kompleksitas dan perencanaan yang tinggi untuk seluruh operasi. "Apa yang dilakukan peretas canggih adalah melakukan upaya bersama, bahkan dengan mempertimbangkan skenario yang tidak mungkin, untuk memastikan bahwa mereka menghilangkan semua masalah yang mungkin terjadi," katanya.

Melakukan TDoS memberi penyerang sedikit lebih banyak waktu. Sampai dispatcher melihat aktivitas aneh di komputer, beberapa gardu sudah akan dimatikan. Para ahli mengatakan bahwa dalam hal serangan Rusia yang bermotivasi politik terhadap Ukraina, telepon DDoS melakukan tugas lain: untuk merusak kepercayaan warga terhadap perusahaan energi Ukraina dan pemerintah.

Setelah mematikan daya di gardu induk, peretas mengganti firmware pada konverter serial-ke-Ethernet yang terpasang di sana. Setelah selesai operasi, mereka meluncurkan malware yang disebut KillDisk untuk menghapus file dan MBR pada komputer di pusat kontrol.

Bom logika yang dipasang memulai KillDisk pada penghitung waktu 90 menit setelah dimulainya serangan, yaitu sekitar pukul 5 malam. Pada saat itulah Prikarpatyeoblenergo menerbitkan pesan di situs webnya dengan informasi tentang apa yang sudah diketahui warga: listrik di beberapa daerah terputus dan penyelidikan sedang dilakukan tentang penyebab kegagalan tersebut.

Setengah jam kemudian, ketika KillDisk menyelesaikan bisnis kotornya, Prikarpatyeoblenergo mempublikasikan pesan lain: serangan hacker dinamai alasan kegagalan tersebut.

...

Siapa pun yang berada di belakang mengatur pemadaman listrik di Ukraina adalah yang pertama dari serangan jenisnya, yang menciptakan preseden buruk bagi keselamatan jaringan listrik di seluruh dunia. Dispatcher Prikarpatyeoblenergo mungkin tidak tahu apa yang mengancam kerlip kursor mouse di layar hari itu. Tetapi sekarang semua yang bertanggung jawab atas pasokan energi di dunia telah menerima peringatan. Serangan ini relatif singkat dan lunak. Berikut ini mungkin bukan masalahnya.

Source: https://habr.com/ru/post/id391439/