**Tahun ini menandai peringatan 15 tahun Stuxnet**—peristiwa tunggal yang membuat dunia mulai memperhatikan keamanan teknologi operasional (OT) dan sistem kontrol industri (ICS).
Dalam laporan ancaman tahunan terbaru kami, kami menunjukkan bagaimana jumlah serangan siber dan aktor ancaman yang menargetkan infrastruktur kritis (CI) telah meningkat secara signifikan, terutama sejak 2022, di mana insiden CI meningkat sebesar **668% dalam tiga tahun terakhir**.
Di sini, kami membahas bagaimana serangan terhadap CI dan OT/ICS telah berkembang sejak Stuxnet.
Ancaman terhadap Infrastruktur Kritis
CI, termasuk perangkat OT/ICS yang mengontrol proses fisiknya, telah menjadi target serangan siber setidaknya selama **15 tahun terakhir**. Bahkan, jika mempertimbangkan insiden sebelum Stuxnet, seperti **Maroochy Water**, maka serangan terhadap CI sudah berlangsung lebih lama.
Namun, meningkatnya integrasi sistem digital dalam lingkungan industri dalam beberapa tahun terakhir telah membuat OT/ICS semakin rentan terhadap serangan siber, dengan mengekspos kelemahan dan memberikan cara baru bagi aktor ancaman untuk menargetkan korban mereka.
Serangan siber yang secara khusus menargetkan gangguan OT/ICS dapat menyebabkan **kerusakan fisik** pada infrastruktur kritis seperti pabrik manufaktur, jaringan energi, dan fasilitas pengolahan air. Serangan ini terkadang menggunakan **malware yang dirancang khusus** untuk menyusup, memanipulasi, atau menonaktifkan sistem industri yang mengontrol proses dalam infrastruktur kritis.
Namun, serangan kompleks yang ditargetkan dengan **malware canggih yang disponsori negara**, seperti **Stuxnet dan Industroyer**, hanyalah sebagian dari ancaman yang ada. Saatini, serangan terhadap CI tidak hanya terbatas pada senjata digital yang dikembangkan oleh negara, tetapi juga melibatkan berbagai **jenis ancaman siber lainnya**.
Gambar di bawah ini merangkum **linimasa serangan atau peristiwa penting dalam 15 tahun terakhir** dan bagaimana peristiwa tersebut mencerminkan perubahan dalam lanskap keamanan siber CI, yang akan kami bahas lebih lanjut.
Serangan yang Disponsori Negara dengan Malware OT
Awalnya, serangan siber yang menargetkan infrastruktur kritis (CI) dilakukan oleh aktor yang disponsori negara sebagai bagian dari kampanye spionase atau sabotase. Malware khusus dirancang untuk menyusup ke fasilitas tertentu dan mengganggu operasionalnya. Tiga peristiwa menonjol dalam periode ini.
Stuxnet (2010)
Stuxnet adalah malware pertama yang secara global dipublikasikan sebagai ancaman terhadap OT/ICS. Malware ini menandai era baru di mana serangan siber tidak hanya merusak data, tetapi juga dapat menyebabkan kerusakan fisik pada infrastruktur.
Pengembangan Stuxnet diperkirakan dimulai sejak 2005 oleh intelijen Israel dan Amerika Serikat dengan tujuan memperlambat program nuklir Iran. Target spesifiknya adalah Siemens PLC yang mengontrol sentrifugal pengayaan uranium di fasilitas Natanz, Iran.
Metode awal infeksi adalah melalui USB drive yang terinfeksi, karena jaringan target terisolasi (air-gapped). Stuxnet dirancang untuk mengubah kecepatan putaran sentrifugal secara tidak teratur, sementara pada saat yang sama, sistem tetap menampilkan informasi bahwa semuanya beroperasi normal di mata para insinyur.
Industroyer (2016)
Industroyer dianggap sebagai ancaman terbesar bagi OT/ICS sejak Stuxnet karena merupakan malware pertama yang menargetkan infrastruktur sipil. Malware ini menyebabkan pemadaman listrik di Ukraina dengan memanfaatkan protokol OT IEC-104 untuk mengambil alih saklar pemutus sirkuit dan relai perlindungan di gardu listrik.
Serangan ini dikaitkan dengan kelompok Sandworm APT yang berafiliasi dengan Rusia.
Pada tahun 2022, ditemukan versi lanjutan bernama Industroyer2, juga dikaitkan dengan Sandworm. Namun, serangan ini berhasil dihentikan sebelum mencapai tingkat gangguan yang sama seperti serangan sebelumnya.
Triton (2017)
Triton adalah malware pertama yang dirancang untuk menyerang Safety Instrumented Systems (SIS)—sistem keselamatan industri yang berfungsi untuk melindungi proses industri dan mencegah kecelakaan yang berpotensi membahayakan nyawa manusia.
Malware ini menargetkan Triconex SIS controllers dari Schneider Electric yang digunakan di pabrik petrokimia di Arab Saudi. Dengan mengompromikan SIS, Triton berpotensi menonaktifkan fitur keselamatan, yang dapat menyebabkan ledakan atau pelepasan zat beracun.
Serangan ini dikaitkan dengan Rusia, lebih spesifiknya dengan kelompok yang beroperasi dalam Central Scientific Research Institute of Chemistry and Mechanics.
Munculnya Ransomware dan Kejahatan Siber (Sejak 2017)
Seperti yang ditunjukkan dalam laporan ancaman terbaru, penjahat siber kini menjadi ancaman paling umum bagi sektor infrastruktur kritis.
Berbeda dengan serangan yang disponsori negara, penjahat siber lebih fokus pada keuntungan finansial, dengan salah satu metode paling menguntungkan adalah pemerasan melalui ransomware.
Ransomware sebenarnya sudah ada sejak 1989, tetapi dalam beberapa tahun terakhir, jumlah serangan terhadap infrastruktur kritis meningkat drastis. Database Critical Infrastructure Ransomware Attacks yang dikelola oleh Temple University mencatat hampir 2.000 insiden ransomware terhadap infrastruktur kritis sejak 2013.
Dua peristiwa sangat berpengaruh dalam meningkatnya ransomware yang menargetkan infrastruktur kritis.
WannaCry (2017)
WannaCry muncul pada tahun 2017 dan diperkirakan telah menyerang lebih dari 200.000 perangkat di 150+ negara, dengan korban termasuk Honda, Nissan, FedEx, dan National Health Service (NHS) di Inggris. Serangan ini berdampak luas pada sektor manufaktur, transportasi, kesehatan, dan berbagai sektor infrastruktur kritis lainnya.
Malware ini dikaitkan dengan kelompok ancaman Lazarus, yang diduga beroperasi atas nama pemerintah Korea Utara.
WannaCry mengeksploitasi kerentanan EternalBlue di Windows, yang memungkinkan penyebaran otomatis tanpa interaksi pengguna. Setelah menginfeksi komputer, malware ini mengenkripsi file dan meminta tebusan dalam bentuk Bitcoin agar file dapat dipulihkan.
Serangan ini merupakan pertama kalinya banyak orang menyadari ancaman ransomware yang kemudian menjadi semakin marak di dekade berikutnya. Catatan tebusan WannaCry bahkan menjadi ikon yang mudah dikenali dalam kasus pemerasan digital.
Data Exfiltration dan Model Ransomware-as-a-Service (RaaS) (2019-2021)
Antara 2019 dan 2020, serangan ransomware meningkat 62% secara global dan 158% di Amerika Utara. Peningkatan eksplosif ini berlanjut selama dan setelah pandemi COVID-19, yang dipicu oleh peningkatan kerja jarak jauh. Dua inovasi besar dalam operasi ransomware pada masa itu menjadikan serangan ini sangat menguntungkan dan menjadi salah satu penyebab lonjakan aktivitas serangan tersebut.
- Ransomware-as-a-Service (RaaS)
Penciptaan model RaaS merupakan hal yang sangat penting. Pengembang ransomware menyewakan kreasi mereka melalui program afiliasi kepada operator yang melanggar organisasi, menyebarkan malware, dan kemudian berbagi keuntungan dengan pengembang asli. Model ini memberikan skala besar pada operasi penjahat siber, yang selanjutnya ditingkatkan dengan pembagian kerja lebih lanjut, termasuk brokers akses awal dan aktor-aktor spesialis lainnya.
- Metode Ekstorsi Baru dengan Titik Tekanan Publik
Inovasi dalam metode pemerasan, seperti mencuri data sebelum mengenkripsi, menerbitkannya di situs kebocoran, dan mempermalukan korban secara publik, merubah permainan. Metode-metode ini meningkatkan probabilitas bahwa tebusan akan dibayar dan mendorong penjahat siber untuk mengejar organisasi besar. Pada masa inilah nama-nama seperti Cl0p, Conti, DarkSide, LockBit, Maze, dan REvil—beberapa yang kini sudah tidak aktif—menjadi terkenal karena jutaan dolar yang mereka peras dari korban mereka.
Contoh serangan terkenal adalah serangan terhadap Colonial Pipeline. Pada 7 Mei 2021, perusahaan ini terkena serangan ransomware oleh grup DarkSide, yang menyebabkan mereka menghentikan semua operasi untuk mencoba mengendalikan pelanggaran. Hentinya operasi ini menyebabkan antrean panjang pengemudi yang mencoba mengisi bahan bakar mobil mereka dan menimbun bahan bakar yang masih tersedia di pompa bensin. Serangan ini dimulai karena kata sandi karyawan yang bocor yang ditemukan di dark web, dan hanya dapat dihentikan setelah Colonial memutuskan untuk membayar tebusan sebesar $4,4 juta.
Apa yang Terjadi Sekarang: Botnet, Aktivis Haktivis, Serangan Opportunistik (Sejak 2018)
Selain APT yang disponsori negara dan kelompok penjahat siber yang sangat terorganisir, yang kini muncul adalah serangan oportunistik yang dilakukan oleh kelompok haktivis, yang diluncurkan oleh botnet otomatis atau berpindah secara buta dari infeksi IT/IoT ke perangkat OT karena meningkatnya interkoneksi dan kurangnya segmentasi.
Botnet dan Serangan Campuran IT/IoT/OT
VPNFilter adalah botnet dan penghapus asal Rusia yang ditemukan pada tahun 2018, dengan modul yang didedikasikan untuk menginfeksi perangkat IoT dan memantau lalu lintas Modbus OT. VPNFilter menunjukkan bahwa para penyerang sudah sangat sadar tentang interkoneksi yang berkembang dalam jaringan target.
Botnet ini terutama menargetkan router dan perangkat Network-Attached Storage (NAS) yang terekspos di internet, dan diperkirakan telah menginfeksi lebih dari 500.000 perangkat. Malware ini dapat mengeksploitasi perangkat-perangkat ini, bertahan setelah reboot, mengeksekusi perintah, mencuri data, dan “merusak” perangkat yang terinfeksi.
Pada 2022 dan 2023, Forescout Research – Vedere Labs melaporkan munculnya botnet campuran IoT/IT, seperti Chaos, yang memanfaatkan eksploitasi perangkat IoT sebagai akses awal, namun juga memungkinkan pergerakan lateral ke IT setelah infeksi awal. Selain itu, mereka juga mengembangkan R4IoT, sebuah bukti-konsep yang menunjukkan bagaimana malware dapat menginfeksi jaringan melalui perangkat IoT, bergerak lateral ke IT dan kemudian ke OT untuk menyebabkan berbagai jenis kerusakan.
Pada 2024, tren ini terus berlanjut, dengan melaporkan botnet IoT terkenal yang mengeksploitasi kredensial default untuk perangkat OT, serta kemampuan untuk menghapus beberapa perangkat.
Sebuah ancaman yang tidak terkait langsung dengan botnet, tetapi juga difasilitasi oleh interkoneksi perangkat, adalah malware Windows umum yang menyebar ke workstation teknik. Pada 2024, kami mengonfirmasi bahwa tren ini tetap aktif, sambil juga menemukan malware eksperimental baru yang dapat menghentikan proses teknik.
Aktivitas Haktivis
Haktivis telah ada sejak tahun 1990-an, tetapi dalam beberapa tahun terakhir—terutama sejak perang Rusia-Ukraina pada 2022—mereka menunjukkan ketertarikan khusus dalam menargetkan infrastruktur kritis dan OT/ICS.
Serangan mereka kini dimotivasi oleh geopolitik dan bertujuan untuk menyebarkan pesan atau menyebabkan disrupsi fisik melalui eksfiltrasi data, defacement, DDoS, interaksi langsung dengan protokol OT, bahkan penyebaran ransomware pada perangkat IoT/OT. Kelompok ini sering didukung oleh pemerintah negara atau bahkan bertindak sebagai front untuk badan sipil atau militer mereka sendiri.
Dalam enam bulan antara November 2023 dan April 2024, Amerika Serikat mengalami setidaknya 36 serangan oleh kelompok haktivis yang berafiliasi dengan Iran atau Rusia, yang menargetkan OT/ICS. Sebagian besar dari serangan ini menargetkan utilitas air, namun sektor-sektor lain seperti kesehatan, energi, dan manufaktur juga terkena dampaknya.
Infrastruktur IT yang kuat adalah kunci pertumbuhan bisnis. Forescout Indonesia menyediakan solusi terbaik, mulai dari jaringan, storage, cloud, hingga keamanan siber, yang diintegrasikan oleh iLogo Indonesia agar sesuai dengan kebutuhan bisnis Anda.
Pelajari lebih lanjut di forescout.ilogoindonesia.com dan konsultasikan kebutuhan IT Anda dengan kami!