Tanggal 23 Desember 2015 perusahaan Listrik Ukraina Prykarpattyaoblenergo melaporkan Power Grid Ukraina dihack. Serangan ini menyebabkan listrik di area Ivano-Frankivsk padam. Sekitar 1,4 juta penduduk di area tersebut selama beberapa jam tidak mendapat aliran listrik. Pada pertengahan bulan lalu terjadi lagi serangan serupa di Ukraina, bahkan serangan dilakukan pada beberapa instansi pemerintahan. Dari hasil penyidikan diduga serangan ini menggunakan malware Black Energy, backdoor SSH dan malware perusak KillDisk.
Trojan Black Energy memang bukan malware baru. Versi awal malware ini telah ada sejak tahun 2007. Pada tahun 2014 peneliti dari perusahaan anti virus ESET telah melaporkan temuan serangan di Ukraina dan Polandia menggunakan Black Energy. Peneliti ESET Robert Lipovsky dan Anton Cherepanov melaporkan Black Energy disebarkan melalui email yang mengandung attachment file microsoft office. Ketika membuka file attachment ini korban diminta untuk mengaktifkan fungsi macro pada Office. Perusahaan security Ukraina Cys Centrum melaporkan penyerang memalsukan alamat pengirim pada email, seolah-olah email ini dikirim dari parlemen Ukraina (Rada). Setelah mengaktifkan macro pada Office maka korban terinfeksi malware BlackEnergy.
Trojan Black Energy ini kemudian mengunduh beberapa komponen dari server. Diantaranya malware KillDisk. KillDisk dapat menghapus semua data di komputer korban (wipe), sehingga membuat komputer korban rusak. KillDisk juga mencari dan mematikan 2 buah process pada komputer korban yaitu komut.exe dan sec_service.exe. Process ini dibutuhkan oleh aplikasi ELTIMA Serial to Ethernet Connector dan ASEM Ubiquity (sebuah platform sistem kontrol Industrial Control Systems (ICS)). Hal ini akan menyulitkan proses recovery sistem.Pada proses analisa ditemukan juga sebuah backdoor SSH pada sistem. Dengan backdoor ini penyerang dapat mengendalikan komputer korban dari jauh.
Serangan cyber terhadap sistem pengendali infrastruktur publik memang sangat berbahaya. Telah terjadi berbagai contoh kasus serangan yang menggunakan malware terhadap berbagai infrastuktur penting, diantaranya instalasi nuklir di iran, serangan terhadap pabrik besi di Jerman (German steel mill), dan serangan terhadap penjara di Amerika Serikat dimana malware bisa membuka pintu besi di penjara tersebut (theopening of all of the doors at a maximum security section of a US prison, allowing gang members to attack their rivals). Serangan seperti ini menjadi alarm bagi perusahaan penyedia layanan publik di Indonesia untuk lebih serius menyiapkan pengamanan sistemnya.
Semoga bermanfaat!
Beberapa bahan bacaan:
http://www.tripwire.com/state-of-security/latest-security-news/blackenergy-malware-thought-to-have-caused-ukrainian-power-outage/
http://www.reuters.com/article/us-ukraine-crisis-malware-idUSKBN0UI23S20160104
Analisa malware
https://www.f-secure.com/v-descs/backdoor_w32_blackenergy.shtml