Saya lagi baca beberapa kasus malware unik yang menyerang infrastruktur atau kadang dibilang ICS (Industrial control system) malware. Salah satu yang cukup menghebohkan adalah malware Crashoverride yang menyerang power grid Ukraina pada bulan desember 2016. Serangan ini sempat melumpuhkan jaringan listrik di 1/5 bagian kota Kiev selama 1 jam. Malware crashoverride ini sering dinamakan juga Indistroyer. Insiden ini konon serangan yang kedua pada jaringan listrik di Ukraina. Yang pertama adalah malware Blackenergy pada tahun 23 Desember 2015.
Serangan ini juga serangan ICS keempat yang tercatat setelah Stuxnet, Havex dan Blackenergy. Menurut peneliti dari ESET, malware ini terdiri beberapa modul berikut:
- Backdoor digunakan untuk mengendalikan komponen malware lainnya. Backdoor terhubung dengan server command & server
- Backdoor tambahan, sebagai cadangan dan mekanisme persistence bila backdoor utama terdeteksi sistem pertahanan
- Komponen launcher adalah file executable yang bertugas untuk menjalankan komponen payload dan komponen wiper. Bagian ini mengatur waktu dan tanggal aktivasi malware. Dari hasil analisa ditemukan 2 tanggal aktivasi yaitu 17 desember 2016 dan 20 desember 2016. Tanggal 17 desember adalah tanggal serangan terjadi
- 4 komponen payload yang menargetkan protokol komunikasi khusus pada siste industri yaitu IEC 60870-5-101, IEC 60870-5-104, IEC 61850, dan OLE untuk Process Control Data Access (OPC Data Access) . Fungsi komponen payload ini diantaranya melakukan scanning dan mapping jaringan, dan memberikan perintah pada perangkat kontrol industri khusus.
- Komponen data wiper dirancang untuk menghapus registry keys pada sistem target, dan menimpa file untuk membuat sistem tidak bisa direboot dan mempersulit proses recovery.
Wah makin canggih ya malwarenya, bisa nyerang listrik. Jangan2 PLN klo listriknya mati juga karena malware ini :) Semoga bermanfaat!
Laporal lengkap tentang malware ini bisa dilihat pada link berikut:
https://dragos.com/blog/crashoverride/