Indonesia Darurat Ketahanan Siber untuk Obyek Vital Nasional
JAKARTA, suluthebat.com – Kebakaran yang manimpa Depo Pertamina Plumpang, Jakarta Utara, masih dalam penyelidikan Polri, namun berkaca dari beberapa obyek vital di Eropa dan Amerika Serikat yang lumpuh akibat serangan ransomware, tidak ada salahnya jika Indonesia yang juga memiliki banyak fasilitas serupa sejak dini menerapkan Darurat Ketahanan Siber bagi Obyek Vital Nasional.
Pada Mei 2021, Colonial Pipeline menjadi korban serangan ransomware. Pipa, yang dimulai di Texas dan berakhir di Linden, New Jersey, adalah salah satu pipa minyak terbesar dan paling vital di Amerika Serikat, karena memindahkan minyak dari kilang ke pasar industri dan memasok sekitar 45 persen bahan bakar ke Pantai Timur.
Penyerang memperoleh akses ke jaringan Colonial Pipeline melalui kata sandi yang terbuka untuk akun jaringan pribadi virtual (VPN) yang ditemukan di web gelap. Ransomware tersebut menginfeksi beberapa sistem IT pipa dan mematikannya selama beberapa hari. Perusahaan memutuskan untuk juga menutup jaringan OT pipa untuk mencegah infeksi menyebar. Penutupan itu berdampak pada konsumen dan maskapai penerbangan di sepanjang Pantai Timur.
Insiden itu dianggap sebagai ancaman keamanan nasional, dan mengakibatkan Presiden Joe Biden menyatakan keadaan darurat. DarkSide mampu memeras sekitar $ 5 juta dari Colonial Pipeline, meskipun $ 2.3 juta berhasil dipulihkan dengan bantuan Departemen Kehakiman AS. Server dan bitcoin yang terkait dengan DarkSide juga disita tak lama setelah insiden itu, menyebabkan grup tersebut menutup operasi.
Tahun lalu, serangan ransomware terhadap Saudi Aramco, pengekspor minyak mentah tunggal terbesar di dunia, menghasilkan data sensitif yang terekspos. Perusahaan mengatakan kepada Associated Press bahwa kontraktor pihak ketiga menyimpan data dan bahwa sistem Saudi Aramco tidak dilanggar. Namun demikian, seseorang dari perusahaan kontraktor tak dikenal itu dilaporkan mencuri 1 terabyte data sejak 1993.
Data ini termasuk informasi perusahaan; faktur pelanggan; lebih dari 14.000 dari 66.000 profil karyawan yang berisi informasi identitas pribadi (PII), seperti pemindaian paspor dan daftar pelanggan; dan peta jaringan, termasuk alamat perangkat Internet of Things (IoT), kontrol pengawasan dan titik akuisisi data (SCADA), kamera IP, titik akses Wi-Fi, dan alamat IP dengan koordinat GPS yang tepat.
Saudi Aramco mengakui insiden itu pada 21 Juli 2021. Data tersebut dicuri oleh kelompok yang dikenal sebagai ZeroX, yang mengklaim bahwa mereka mengeksploitasi kerentanan zero-day untuk mendapatkan data. Baik ZeroX dan Saudi Aramco membantah insiden itu adalah ransomware karena tidak ada enkripsi data yang terjadi. ZeroX mengancam akan menjual informasi tersebut dengan harga mulai dari $5 juta di web gelap.
Tak hanya di sektor energi, para ahli sedang menyelidiki setelah beberapa bandara Jerman melaporkan kegagalan situs web. Gangguan tersebut telah dikaitkan dengan kemungkinan serangan peretasan. Beberapa bandara Jerman mendapati situs web mereka terganggu pada hari Kamis, dan para ahli menyelidiki kemungkinan serangan online. Masalah datang sehari setelah kegagalan IT besar di maskapai nasional Jerman Lufthansa membuat ribuan penumpang terdampar di bandara Frankfurt. “Sekali lagi, bandara menjadi korban serangan DDoS skala besar,” kata Ralph Beisel, Kepala Eksekutif Asosiasi Bandara ADV.
“Menurut informasi yang kami miliki sejauh ini, sistem lain tidak terpengaruh,” katanya, seraya menambahkan tidak jelas apakah situasinya akan menyebar ke lokasi lain. Di antara bandara yang terkena dampak adalah Düsseldorf, Nüremberg, Erfurt-Weimar dan Dortmund. Situs web tidak dapat dijangkau atau ditandai pesan kegagalan.
“Kami masih melakukan pemecahan masalah,” kata juru bicara Bandara Dortmund, seraya menambahkan tidak mungkin kegagalan itu disebabkan oleh kelebihan beban reguler. “Ada alasan untuk menduga itu bisa menjadi serangan peretas,” katanya.
Bandara Nüremberg di Bavaria utara mengatakan situsnya telah menerima begitu banyak permintaan sehingga runtuh. Situs web majalah berita Jerman Spiegel melaporkan bahwa masalah tersebut bisa disebabkan oleh serangan DDos, di mana peretas mengarahkan lalu lintas internet yang padat ke server yang ditargetkan dalam upaya yang relatif tidak canggih untuk membuatnya offline.
Ada kekacauan perjalanan di Bandara Frankfurt – salah satu bandara terbesar di Eropa – pada hari Rabu setelah kerusakan kabel di lokasi konstruksi menyebabkan kegagalan sistem komputer, dengan lebih dari 200 penerbangan dibatalkan. Situs web bandara Jerman adalah salah satu dari beberapa target yang diyakini telah dijatuhkan oleh kelompok peretas pro-Rusia Killnet.
Tahun tahunan NSA dalam tinjauan mencatat Rusia telah melepaskan setidaknya tujuh malware penghapus berbeda yang dirancang untuk menghancurkan data secara permanen. Salah satu Wiper itu mengeluarkan ribuan modem satelit yang digunakan oleh pelanggan perusahaan komunikasi Viasat. Di antara modem yang rusak adalah puluhan ribu terminal di luar Ukraina yang mendukung turbin angin dan menyediakan layanan Internet kepada warga negara swasta.
Sepuluh hari yang lalu, perdana menteri Norwegia Jonas Gahr Støre memperingatkan bahwa Rusia menimbulkan “ancaman nyata dan serius … untuk industri minyak dan gas” Eropa Barat ketika negara itu berusaha untuk mematahkan kehendak sekutu Ukraina.
Teknik peretasan Trident Ursa sederhana namun efektif. Grup ini menggunakan berbagai cara untuk menyembunyikan alamat IP dan tanda tangan lain dari infrastrukturnya, dokumen phishing dengan tingkat deteksi rendah di antara layanan anti-phishing, dan dokumen HTML dan Word yang berbahaya.
Para peneliti Unit 42 menulis:
Trident Ursa tetap menjadi APT yang gesit dan adaptif yang tidak menggunakan teknik yang terlalu canggih atau kompleks dalam operasinya. Dalam kebanyakan kasus, mereka mengandalkan alat dan skrip yang tersedia untuk umum—bersama dengan sejumlah besar pengaburan—serta upaya phishing rutin untuk berhasil menjalankan operasi mereka.
Operasi kelompok ini secara teratur ditangkap oleh para peneliti dan organisasi pemerintah, namun mereka tampaknya tidak peduli. Mereka hanya menambahkan pengaburan tambahan, domain baru, dan teknik baru dan mencoba lagi—bahkan sering kali menggunakan kembali sampel sebelumnya.
Terus beroperasi dengan cara ini setidaknya sejak 2014 tanpa tanda-tanda melambat selama periode konflik ini, Trident Ursa terus berhasil. Untuk semua alasan ini, mereka tetap menjadi ancaman signifikan bagi Ukraina, yang ukraina dan sekutunya perlu pertahankan secara aktif.Laporan hari Selasa memberikan daftar hash kriptografi dan indikator lain yang dapat digunakan organisasi untuk menentukan apakah Trident Ursa telah menargetkannya. Ini juga memberikan saran untuk cara-cara untuk melindungi organisasi terhadap kelompok.(*)
