, ,

Data Lengkap Serangan Cybercrime Rusia Terhadap Ukraina

Cyberwar Rusia di Ukraina Hanya blueprint untuk sesuatu yang lebih besar

Cyber-Cassandras mengatakan ini akan terjadi. Selama beberapa dekade mereka memperingatkan bahwa peretas akan segera membuat lompatan melampaui kekacauan digital murni dan mulai menyebabkan kerusakan fisik dan nyata bagi dunia. Pada tahun 2009, ketika malware Stuxnet NSA secara diam-diam mempercepat beberapa ratus sentrifugal nuklir Iran sampai mereka menghancurkan diri mereka sendiri, tampaknya menawarkan pratinjau era baru ini. “Ini memiliki bau Agustus 1945,” Michael Hayden, mantan direktur NSA dan CIA, mengatakan dalam sebuah pidato. “Seseorang hanya menggunakan senjata baru, dan senjata ini tidak akan dimasukkan kembali ke dalam kotak.”

Sekarang, di Ukraina, skenario cyberwar klasik telah terwujud. Dua kali. Pada kesempatan terpisah, penyabot tak terlihat telah mematikan listrik menjadi ratusan ribu orang. Setiap pemadaman berlangsung beberapa jam, hanya selama dibutuhkan bagi para insinyur yang berebut untuk menyalakan kembali power secara manual. Tapi sebagai bukti konsep, serangan tersebut menjadi preseden baru: Di bayangan Rusia, mimpi buruk hacker berusia puluhan tahun menghentikan roda gigi masyarakat modern telah menjadi kenyataan.

Dan pemadaman itu bukan hanya serangan terisolasi. Mereka adalah bagian dari blitzkrieg digital yang telah memukul Ukraina selama tiga tahun terakhir – sebuah cyberassault yang berkelanjutan tidak seperti dunia yang pernah ada. Seorang tentara hacker telah secara sistematis merongrong hampir setiap sektor di Ukraina: media, keuangan, transportasi, militer, politik, energi. Gelombang demi gelombang gangguan telah menghapus data, menghancurkan komputer, dan dalam beberapa kasus fungsi organisasi yang paling mendasar lumpuh. “Anda tidak dapat benar-benar menemukan tempat di Ukraina dimana tidak ada serangan,” kata Kenneth Geers, seorang duta besar NATO yang fokus pada keamanan dunia maya.

Dalam sebuah pernyataan publik pada bulan Desember, presiden Ukraina, Petro Poroshenko, melaporkan bahwa telah terjadi 6.500 serangan cyber terhadap 36 target Ukraina hanya dalam dua bulan sebelumnya. Analis cybersecurity internasional telah berhenti sejenak untuk secara meyakinkan menghubungkan serangan ini ke Kremlin, namun Poroshenko tidak ragu: Investigasi Ukraina, katanya, menunjuk pada “keterlibatan langsung atau tidak langsung dari layanan rahasia Rusia, yang telah melepaskan sebuah cyberwar melawan kita. Negara. “(Kementerian luar negeri Rusia tidak menanggapi beberapa permintaan untuk memberikan komentar.)

Untuk memahami pentingnya serangan ini – dan, dalam hal ini, untuk mencerna sebagian besar dari apa yang terjadi dalam gangguan geopolitik yang lebih besar hari ini – ini membantu memahami hubungan kasar Rusia yang aneh dengan tetangganya yang terbesar di barat. Moskow telah lama menganggap Ukraina sebagai bagian sah dari kekaisaran Rusia dan aset teritorial yang penting – penyangga strategis antara Rusia dan kekuatan NATO, jalur pipa yang menguntungkan ke Eropa, dan merupakan rumah bagi salah satu dari beberapa pelabuhan air hangat yang dapat diakses oleh Rusia. Untuk semua alasan tersebut, Moskow telah bekerja selama beberapa generasi untuk menjaga Ukraina berada pada posisi saudara kecil yang patuh.

Tapi selama satu setengah dekade terakhir, kekalahan Moskow di Ukraina telah merosot, karena dukungan rakyat di negara tersebut telah menarik NATO dan Uni Eropa. Pada tahun 2004, kerumunan orang Ukraina di selendang oranye membanjiri jalan-jalan untuk memprotes kecurangan Moskow terhadap pemilihan negara tersebut; Tahun itu, agen Rusia diduga pergi sejauh untuk meracuni calon presiden pro-Barat Viktor Yuschenko. Satu dekade kemudian, Revolusi Ukraina 2014 akhirnya menggulingkan presiden yang didukung Kremlin, Viktor Yanukovych (seorang pemimpin yang penasihat politik lamanya Paul Manafort, akan terus menjalankan kampanye presiden AS Donald Trump). Pasukan Rusia segera mencaplok Semenanjung Krimea di selatan dan menyerang wilayah timur berbahasa Rusia yang dikenal sebagai Donbass. Ukraina sejak saat itu telah dikunci dalam sebuah perang yang tidak diumumkan dengan Rusia, satu yang telah mengungsi hampir 2 juta pengungsi internal dan membunuh hampir 10.000 orang Ukraina.

Rusia tidak akan pernah menerima Ukraina yang berdaulat dan independen. Dua puluh lima tahun sejak runtuhnya Soviet, Rusia masih sakit dengan sindrom imperialisnya.

 

Sejak awal, salah satu front utama perang ini adalah digital. Menjelang pemilihan pasca-revolusi 2014 di Ukraina, sebuah kelompok pro-Rusia yang menamakan dirinya CyberBerkut – entitas yang memiliki hubungan dengan hacker Kremlin yang kemudian melanggar target Demokrat dalam pemilihan presiden 2016 di Amerika – mencengkeram situs Komisi Pemilu Pusat negara untuk mengumumkan ultra- Calon presiden kanan Dmytro Yarosh sebagai pemenangnya. Administrator mendeteksi gangguan kurang dari satu jam sebelum hasil pemilihan ditetapkan untuk diumumkan. Dan serangan itu hanyalah awal dari percobaan paling ambisius Rusia dalam perang digital, rentetan serangan cyber yang mulai meningkat pada musim gugur tahun 2015 dan belum berhenti sejak saat itu.
Yushchenko, yang akhirnya menjabat sebagai presiden Ukraina dari tahun 2005 sampai 2010, percaya bahwa taktik Rusia, online dan offline, memiliki satu tujuan tunggal: “untuk mengacaukan situasi di Ukraina, membuat pemerintahnya terlihat tidak kompeten dan rentan.” Dia memecah pemadaman listrik Dan serangan cyber lainnya bersamaan dengan disinformasi Rusia yang membanjiri media Ukraina, kampanye terorisme di timur negara itu, dan keracunannya bertahun-tahun yang lalu – semua gerakan curang ditujukan untuk melukis Ukraina sebagai negara yang hancur. “Rusia tidak akan pernah menerima Ukraina sebagai negara yang berdaulat dan independen,” kata Yuschenko, yang wajahnya masih mengandung jejak bekas luka yang disebabkan oleh toksisitas dioksin. “Dua puluh lima tahun sejak runtuhnya Soviet, Rusia masih sakit dengan sindrom imperialistik ini.”
Tetapi banyak analis keamanan dunia maya memiliki teori yang jauh lebih besar tentang endbertarungan epidemi hacking Ukraina: Mereka percaya bahwa Rusia menggunakan negara tersebut sebagai tempat uji cyberwar-laboratorium untuk menyempurnakan bentuk pertempuran online baru secara global. Dan bahan peledak digital yang telah berulang kali diluncurkan Rusia di Ukraina adalah yang telah ditanam setidaknya sekali sebelumnya di infrastruktur sipil Amerika Serikat.

 

Suatu hari Minggu pagi di bulan Oktober 2015

lebih dari setahun sebelum Yasinsky melihat keluar dari jendela dapurnya di cakrawala yang pingsan, dia duduk di dekat jendela yang sama sambil menyeruput teh dan memakan semangkuk cornflake. Teleponnya berdering dengan telepon dari kantor. Dia kemudian menjabat sebagai direktur keamanan informasi di StarLightMedia, konglomerat penyiaran TV terbesar di Ukraina. Pada malam hari, dua server StarLight secara tidak sengaja lenyap secara offline. Administrator TI di telepon meyakinkannya bahwa server telah dipulihkan dari backup.
Tapi Yasinsky merasa tidak nyaman. Kedua mesin itu menjadi gelap pada saat yang hampir bersamaan. “Satu server turun, itu terjadi,” kata Yasinsky. “Tapi dua server sekaligus? Itu mencurigakan.”
Mengundurkan diri ke akhir pekan yang hilang, dia meninggalkan apartemennya dan naik metro selama 40 menit ke kantor StarLightMedia. Ketika sampai di sana, Yasinsky dan admin TI perusahaan memeriksa citra yang mereka simpan dari salah satu server yang rusak. Catatan boot masternya, bagian otak reptil-otak yang terdalam, yang memberi tahu mesin tempat menemukan sistem operasinya sendiri, telah benar-benar ditimpa dengan angka nol. Ini sangat mengganggu, mengingat bahwa dua server korban adalah pengendali domain, komputer dengan hak istimewa yang kuat yang dapat digunakan untuk menjangkau ratusan mesin lainnya di jaringan perusahaan.

 

Yasinsky dengan cepat menemukan bahwa serangan itu memang jauh lebih buruk daripada yang terlihat: Dua server yang rusak telah menanam malware di laptop dari 13 karyawan StarLight. Infeksi tersebut telah memicu teknik men-boot rekor yang sama untuk membobol mesin seperti para staf bekerja untuk menyiapkan buletin berita TV pagi menjelang pemilihan lokal di negara tersebut.
Meskipun begitu, Yasinsky bisa melihat bahwa dia beruntung. Melihat log jaringan StarLight, ternyata pengontrol domain telah melakukan bunuh diri sebelum waktunya. Mereka sebenarnya telah berhasil menginfeksi dan menghancurkan 200 PC lagi di perusahaan itu. Segera Yasinsky mendengar dari sebuah perusahaan media yang bersaing bernama TRK bahwa kurang beruntung: Perusahaan itu kehilangan lebih dari seratus komputer dari serangan yang sama.
Yasinsky berhasil menarik salinan program destruktif dari jaringan StarLight. Kembali ke rumah, dia memikirkan kodenya. Dia dikejutkan oleh lapisan-aspek penyangkalan licik-malware telah menghindari semua pemindaian antivirus dan bahkan meniru pemindai antivirus itu sendiri, Microsoft Windows Defender. Setelah keluarganya tertidur, Yasinsky mencetak kode itu dan meletakkan kertas-kertas itu di atas meja dan lantai dapurnya, menyilangkan garis-garis karakter yang menyamar dan menyoroti perintah untuk melihat bentuk aslinya. Yasinsky telah bekerja dalam keamanan informasi selama 20 tahun; Dia berhasil mengelola jaringan besar dan melawan para peretas hacker canggih sebelumnya. Tapi dia tidak pernah menganalisis senjata digital yang disempurnakan itu.

Di bawah semua cloaking dan penyesatannya, Yasinsky tahu, adalah bagian dari malware yang dikenal sebagai KillDisk, parasit penghancur data yang telah beredar di kalangan hacker selama sekitar satu dekade. Untuk memahami bagaimana sistem itu masuk ke sistem mereka, Yasinsky dan dua rekannya di StarLight secara obsesif menggali log jaringan perusahaan, menyisirnya lagi dan lagi pada malam dan akhir pekan. Dengan melacak tanda-tanda sidik jari para hacker – beberapa akun YouTube korporat yang terganggu, login jaringan administrator yang tetap aktif bahkan saat dia sakit parah – mereka sadar bahwa penyusup telah berada di dalam sistem mereka selama lebih dari enam bulan. Akhirnya, Yasinsky mengidentifikasi bagian dari malware yang telah berfungsi sebagai pijakan awal para hacker: Trojan tujuan yang dikenal sebagai BlackEnergy.
Segera Yasinsky mulai mendengar dari rekan kerja di perusahaan lain dan di pemerintahan bahwa mereka juga telah diretas, dan hampir persis sama. Satu serangan telah menimpa Ukrzaliznytsia, perusahaan kereta api terbesar di Ukraina. Target lainnya meminta Yasinsky untuk merahasiakan pelanggaran mereka. Lagi dan lagi, para hacker menggunakan BlackEnergy untuk akses dan pengintaian, lalu KillDisk untuk kehancuran. Motif mereka tetap menjadi teka-teki, tapi tanda mereka ada dimana-mana.
“Dengan setiap langkah maju, menjadi lebih jelas bahwa Titanic kami telah menemukan gunung esnya,” kata Yasinsky. “Semakin dalam kita melihat, semakin besar itu.”
Bahkan saat itu, Yasinsky tidak mengetahui dimensi sebenarnya dari ancaman tersebut. Dia tidak tahu, misalnya, bahwa pada bulan Desember 2015, BlackEnergy dan KillDisk juga diajukan di dalam sistem komputer setidaknya tiga perusahaan listrik utama Ukraina, terbaring menunggu.

BACA  Sophia, Robot Tercanggih yang Pernah Ada

 

Awalnya, Robert Lee menyalahkan tupai.
Saat itu adalah malam Natal tahun 2015 – dan juga, kebetulan, sehari sebelum Lee ditetapkan untuk menikah di kota asalnya Cullman, Alabama. Seorang pria berambut pirang dan berjanggut, Lee baru saja meninggalkan pekerjaan tingkat tinggi di sebuah agen intelijen tiga huruf AS, di mana dia fokus pada keamanan dunia maya dari infrastruktur kritis. Sekarang dia bersiap untuk meluncurkan startup keamanannya sendiri dan menikahi pacar Belanda yang dia temui saat ditempatkan di luar negeri.
Saat Lee menyibukkan dirinya dengan persiapan pernikahan, dia melihat berita utama yang mengklaim bahwa peretas baru saja menurunkan jaringan listrik di Ukraina barat. Sebidang tanah yang berarti rupanya sudah gelap selama enam jam. Lee meniupkan ceritanya-dia memiliki hal-hal lain dalam pikirannya, dan dia pernah mendengar klaim palsu tentang jaringan hack berkali-kali sebelumnya. Penyebabnya biasanya seekor binatang pengerat atau burung – anggapan bahwa tupai merupakan ancaman yang lebih besar terhadap jaringan listrik daripada hacker telah menjadi lelucon di industri ini.
Keesokan harinya, bagaimanapun, tepat sebelum pernikahan itu sendiri, Lee mendapat sebuah teks tentang serangan cyber yang diklaim dari Mike Assante, seorang peneliti keamanan di SANS Institute, sebuah pusat pelatihan cybersecurity elit. Hal itu menarik perhatian Lee: Ketika menghadapi ancaman digital terhadap jaringan listrik, Assante adalah salah satu pakar paling dihormati di dunia. Dan dia memberi tahu Lee bahwa pemadaman listrik di Ukraina tampak seperti hal yang nyata.

Tepat setelah Lee mengatakan sumpahnya dan mencium pengantin wanita, sebuah kontak di Ukraina mengirimnya juga: Pemadaman listrik benar-benar nyata, kata pria itu, dan dia membutuhkan bantuan Lee. Bagi Lee, yang menghabiskan waktunya untuk mempersiapkan serangan cyber infrastruktur, saat yang dia duga selama bertahun-tahun akhirnya tiba. Jadi dia membuang resepsi sendiri dan mulai menulis teks dengan Assante di tempat yang sepi, masih dalam setelan kawinnya.
Lee akhirnya mundur ke komputer desktop ibunya di rumah orang tuanya di dekatnya. Bekerja sama dengan Assante, yang berada di pesta natal teman di pedesaan Idaho, mereka menarik peta Ukraina dan bagan jaringan listriknya. Tiga gardu induk perusahaan listrik yang dipukul berada di berbagai wilayah di negara ini, ratusan mil dari satu sama lain dan tidak terkait. “Ini bukan tupai,” Lee menyimpulkan dengan kegilaan yang gelap.
Pada malam itu, Lee sibuk membedah malware KillDisk yang kontak orang Ukrainanya telah mengirimnya dari perusahaan listrik yang di-hack, seperti yang dilakukan Yasinsky setelah hack StarLightMedia beberapa bulan sebelumnya. (“Saya memiliki istri yang sangat sabar,” kata Lee.) Dalam beberapa hari, dia menerima sampel kode BlackEnergy dan data forensik dari serangan tersebut. Lee melihat bagaimana intrusi itu dimulai dengan email phishing yang meniru pesan dari parlemen Ukraina. Sebuah lampiran kata-kata jahat telah secara diam-diam membuat naskah di mesin korban, menanam infeksi BlackEnergy. Dari pijakan tersebut, tampaknya, para peretas telah menyebar melalui jaringan perusahaan-perusahaan pembangkit listrik dan akhirnya membahayakan VPN yang digunakan perusahaan tersebut untuk akses jarak jauh ke jaringan mereka-termasuk perangkat lunak kontrol industri yang sangat khusus yang memberi perintah kepada operator lebih jauh mengenai peralatan seperti pemutus sirkuit .

Tepat setelah Lee mengatakan sumpahnya dan mencium pengantin wanita, sebuah kontak di Ukraina mengirimnya juga: Pemadaman listrik benar-benar nyata, kata pria itu, dan dia membutuhkan bantuan Lee. Bagi Lee, yang menghabiskan waktunya untuk mempersiapkan serangan cyber infrastruktur, saat yang dia duga selama bertahun-tahun akhirnya tiba. Jadi dia membuang resepsi sendiri dan mulai menulis teks dengan Assante di tempat yang sepi, masih dalam setelan kawinnya.
Lee akhirnya mundur ke komputer desktop ibunya di rumah orang tuanya di dekatnya. Bekerja sama dengan Assante, yang berada di pesta natal teman di pedesaan Idaho, mereka menarik peta Ukraina dan bagan jaringan listriknya. Tiga gardu induk perusahaan listrik yang dipukul berada di berbagai wilayah di negara ini, ratusan mil dari satu sama lain dan tidak terkait. “Ini bukan tupai,” Lee menyimpulkan dengan kegilaan yang gelap.
Pada malam itu, Lee sibuk membedah malware KillDisk yang kontak orang Ukrainanya telah mengirimnya dari perusahaan listrik yang di-hack, seperti yang dilakukan Yasinsky setelah hack StarLightMedia beberapa bulan sebelumnya. (“Saya memiliki istri yang sangat sabar,” kata Lee.) Dalam beberapa hari, dia menerima sampel kode BlackEnergy dan data forensik dari serangan tersebut. Lee melihat bagaimana intrusi itu dimulai dengan email phishing yang meniru pesan dari parlemen Ukraina. Sebuah lampiran kata-kata jahat telah secara diam-diam membuat naskah di mesin korban, menanam infeksi BlackEnergy. Dari pijakan tersebut, tampaknya, para peretas telah menyebar melalui jaringan perusahaan-perusahaan pembangkit listrik dan akhirnya membahayakan VPN yang digunakan perusahaan tersebut untuk akses jarak jauh ke jaringan mereka-termasuk perangkat lunak kontrol industri yang sangat khusus yang memberi perintah kepada operator lebih jauh mengenai peralatan seperti pemutus sirkuit .

 

Pada hari yang dingin dan cerah beberapa minggu kemudian, sebuah tim orang Amerika tiba di Kiev. Mereka berkumpul di Hyatt, satu blok dari Katedral Saint Sophia yang berkubah emas. Diantaranya adalah staf dari FBI, Departemen Energi, Departemen Keamanan Dalam Negeri, dan Korporasi Listrik Amerika Utara, badan yang bertanggung jawab atas stabilitas grid AS, semua bagian dari sebuah delegasi yang ditugaskan untuk sampai ke Bagian bawah pemadaman listrik Ukraina.
The Fed juga telah menerbangkan Assante dari Wyoming. Lee, kepala yang lebih panas dari temannya, telah bertengkar dengan agen-agen AS karena kegelisahan mereka karena kerahasiaan, dengan bersikeras bahwa rincian serangan tersebut perlu dipublikasikan segera. Dia belum diundang.
Pada hari pertama, jas tersebut dikumpulkan di ruang konferensi hotel yang steril dengan staf Kyivoblenergo, perusahaan distribusi listrik regional kota dan satu dari tiga korban serangan jaringan listrik tersebut. Selama beberapa jam berikutnya, eksekutif dan insinyur tegas perusahaan Ukraina memasang akun blow-by-blow tentang serangan yang komprehensif dan hampir menyiksa di jaringan mereka.

Seperti yang diketahui oleh Lee dan Assante, malware yang menginfeksi perusahaan energi tidak memiliki perintah yang benar-benar mengendalikan pemutus arus. Namun pada sore hari tanggal 23 Desember, pegawai Kyivoblenergo telah menyaksikan tanpa daya saat sirkuit setelah sirkuit dibuka di belasan gardu di seluruh wilayah Massachusetts, yang tampaknya diperintahkan oleh komputer di jaringan mereka yang tidak dapat mereka lihat. Sebenarnya, insinyur Kyivoblenergo menentukan bahwa penyerang telah membuat salinan perangkat lunak kontrol mereka sendiri yang sangat dikonfigurasi pada PC di fasilitas yang jauh dan kemudian menggunakan tiruan nakal tersebut untuk mengirim perintah yang memotong kekuatan tersebut.
Setelah pemutus sirkuit terbuka dan kekuatan untuk puluhan ribu orang Ukraina telah meninggal, para hacker meluncurkan fase serangan yang lain. Mereka telah mengganti firmware konverter serial-to-ethernet gardu induk-kotak kecil di lemari server stasiun yang menerjemahkan protokol internet untuk berkomunikasi dengan peralatan yang lebih tua. Dengan menulis ulang kode yang tidak jelas dari potongan perangkat keras itu-sebuah trik yang mungkin memerlukan waktu berminggu-minggu untuk dirancang-para peretas telah memasang perangkat secara permanen, menutup operator yang sah dari kontrol digital lebih lanjut terhadap pemutus. Sambil duduk di meja ruang konferensi, Assante mengagumi ketelitian operasi.

 

Peretas juga meninggalkan salah satu kartu panggil biasa mereka, menjalankan KillDisk untuk menghancurkan segelintir PC perusahaan. Namun, unsur paling kejam dari serangan tersebut menyerang cadangan baterai stasiun pengendali. Ketika listrik terputus ke wilayah tersebut, stasiun-stasiun itu juga kehilangan kekuatan, melemparkannya ke dalam kegelapan di tengah krisis mereka. Dengan sangat cermat, para peretas telah merancang pemadaman listrik dalam pemadaman listrik.
“Pesannya adalah, ‘Saya akan membuat Anda merasakan ini di mana-mana.’ Boom boom boom boom boom boom boom,” Assante mengatakan, membayangkan serangan dari perspektif operator grid yang kebingungan. “Penyerang ini pasti tampak seperti dewa.”
Malam itu, tim tersebut menaiki sebuah pesawat ke kota Ivano-Frankivsk, Ukraina barat, di kaki Pegunungan Carpathian, tiba di bandara era Soviet yang kecil dalam badai salju. Keesokan paginya mereka mengunjungi kantor pusat Prykarpattyaoblenergo, perusahaan listrik yang menangani serangan pra-Natal.
Eksekutif perusahaan listrik tersebut dengan sopan menyambut orang Amerika ke gedung modern mereka, di bawah cerobong asap yang menjulang dari pembangkit listrik tenaga batubara yang ditinggalkan di kompleks yang sama. Kemudian mereka mengundang mereka ke ruang rapat mereka, menempatkan mereka di meja kayu yang panjang di bawah lukisan cat minyak setelah pertempuran abad pertengahan.

BACA  Wow Di Boston, Kirim Paket Sudah Menggunakan Robot

Serangan yang mereka jelaskan hampir sama dengan yang terjadi pada Kyivoblenergo: BlackEnergy, firmware yang rusak, mengganggu sistem kekuasaan cadangan, KillDisk. Namun dalam operasi ini, penyerang telah mengambil langkah lain, membombardir call center perusahaan dengan panggilan telepon palsu-mungkin untuk menunda peringatan pemadaman listrik dari pelanggan atau hanya untuk menambahkan lapisan kekacauan dan penghinaan lainnya.
Ada perbedaan lain juga. Ketika orang Amerika bertanya apakah, seperti di Kiev, perangkat lunak kontrol kloning telah mengirim perintah yang mematikan kekuasaan, insinyur Prykarpattyaoblenergo mengatakan tidak, bahwa pemutus sirkuit mereka telah dibuka dengan metode lain. Saat itulah direktur teknis perusahaan itu, pria bertubuh tinggi dan serius dengan rambut hitam dan mata biru es, memotongnya. Alih-alih mencoba menjelaskan metode para hacker kepada orang Amerika melalui penerjemah, dia menawarkan untuk menunjukkannya kepada mereka, klik Putar di Video dia merekam dirinya di iPhone 5 nya yang usang.

 

Klip 56 detik menunjukkan kursor bergerak di sekitar layar salah satu komputer di ruang kontrol perusahaan. Penunjuk meluncur ke ikon untuk salah satu pemutus dan mengeklik perintah untuk membukanya. Panci video dari monitor Samsung komputer ke mouse-nya, yang belum beranjak. Kemudian itu menunjukkan kursor bergerak lagi, nampaknya sesuai keinginan sendiri, melayang di atas pemutus dan mencoba lagi untuk mengurangi aliran energinya saat para insinyur di ruangan tersebut saling bertanya siapa yang mengendalikannya.
Para peretas tidak mengirimkan perintah pemadaman listrik mereka dari malware otomatis, atau bahkan mesin kloning seperti yang mereka lakukan di Kyivoblenergo. Sebagai gantinya, penyusup telah memanfaatkan alat bantu TI perusahaan untuk mengendalikan langsung pergerakan mouse operator stasiun. Mereka telah mengunci operator dari antarmuka pengguna mereka sendiri. Dan di depan mata mereka, tangan hantu telah melewati belasan pelanggar-masing-masing melayani kekuatan ke wilayah yang berbeda-dan satu demi satu, membuat mereka kedinginan.
Pada bulan Agustus 2016, delapan bulan setelah pemadaman Natal pertama, Yasinsky meninggalkan pekerjaannya di StarLightMedia. Itu tidak cukup, dia memutuskan, untuk membela satu perusahaan dari serangan yang memukul setiap lapisan masyarakat Ukraina. Untuk mengikuti para hacker, dia membutuhkan pandangan yang lebih holistik mengenai pekerjaan mereka, dan Ukraina memerlukan tanggapan yang lebih koheren terhadap organisasi yang kurang ajar dan produktif yang dimiliki Sandworm. “Sisi ringan tetap terbagi,” katanya tentang reaksi balkan terhadap hacker di antara korban mereka. “Sisi gelapnya bersatu.”
Jadi Yasinsky mengambil posisi sebagai kepala penelitian dan forensik untuk sebuah perusahaan Kiev yang disebut Information Systems Security Partners. Perusahaan itu bukan nama besar. Tapi Yasinsky mengubahnya menjadi responden pertama secara de facto untuk korban pengepungan digital Ukraina.
Tidak lama setelah Yasinsky mengganti pekerjaan, hampir seperti diberi isyarat, negara itu berada di bawah gelombang serangan lain yang lebih luas lagi. Dia mencadangkan daftar korban: dana pensiun Ukraina, perbendaharaan negara, otoritas pelabuhan, kementerian infrastruktur, pertahanan, dan keuangannya. Peretas kembali menabrak perusahaan kereta api Ukraina, kali ini mengetuk sistem pemesanan onlinenya selama berhari-hari, tepat di tengah musim liburan. Seperti pada tahun 2015, sebagian besar serangan memuncak dengan ledakan gaya KillDisk pada hard drive target. Dalam kasus kementerian keuangan, bom logika menghapus terabyte data, sama seperti kementerian menyiapkan anggarannya untuk tahun depan. Semua mengatakan, serangan musim dingin hacker yang baru itu cocok dan melampaui tahun sebelumnya-sampai ke grand finale-nya.
Pada tanggal 16 Desember 2016

saat Yasinsky dan keluarganya duduk menonton Snowden, seorang insinyur muda bernama Oleg Zaychenko empat jam memasuki shift malam 12 jam di stasiun transmisi Ukrenergo di utara Kiev. Dia duduk di sebuah ruang kontrol era Soviet tua, dindingnya ditutupi panel kontrol analog berwarna-warni dan merah dari lantai ke langit-langit. Si kucing kucing stasiun, Aza, sedang berburu; Semua yang terus Zaychenko perusahaan adalah televisi di sudut bermain video musik pop.

Dia sedang mengisi log kertas dan pensil, mendokumentasikan lain Sabtu malam yang tidak beraturan, saat alarm tiba-tiba terdengar, nada dering yang memekakkan telinga. Di sebelah kanannya, Zaychenko melihat bahwa dua lampu yang menunjukkan keadaan sirkuit sistem transmisi telah beralih dari warna merah ke hijau – dalam bahasa universal insinyur listrik, sebuah tanda bahwa ia tidak aktif.
Teknisi itu mengangkat gagang telepon meja hitam ke sebelah kirinya dan menghubungi operator di markas Ukrenergo untuk mengingatkannya pada kecelakaan rutin itu. Seperti yang dia lakukan, cahaya lain berubah menjadi hijau. Lalu yang lain. Adrenalin Zaychenko mulai menendang. Saat ia buru-buru menjelaskan situasinya pada operator jarak jauh, lampu terus membalik: merah menjadi hijau, merah menjadi hijau. Delapan, lalu 10, lalu 12.
Seiring dengan meningkatnya krisis, operator memerintahkan Zaychenko untuk berlari keluar dan memeriksa peralatan untuk kerusakan fisik. Pada saat itu, sirkuit ke 20 dan terakhir dimatikan dan lampu di ruang kontrol padam, bersamaan dengan komputer dan TV. Zaychenko sudah melempar mantel di atas seragam biru dan kuningnya dan berlari ke pintu.
Stasiun transmisi biasanya merupakan hutan peralatan berdiam yang luas dan berdentang lebih dari 20 hektar, berukuran lebih dari selusin lapangan sepak bola. Tapi saat Zaychenko keluar dari gedung menuju udara malam yang membeku, suasananya lebih suram daripada sebelumnya: Tiga transformer berukuran tangki yang tersusun di samping gedung itu, yang bertanggung jawab atas seperlima dari kapasitas listrik ibu kota, telah sepenuhnya sunyi. Sampai saat itu Zaychenko telah secara mekanis berdetik melalui daftar periksa mental darurat. Saat melewati mesin-mesin yang lumpuh itu, pikiran itu masuk ke dalam pikirannya untuk pertama kalinya: para peretas menyerang lagi.
Kali ini serangan tersebut telah memindahkan sistem peredaran darah grid Ukraina. Alih-alih menurunkan stasiun distribusi yang bercabang menjadi kapiler saluran listrik, penyabot menabrak arteri. Stasiun transmisi tunggal Kiev itu membawa 200 megawatt, lebih banyak muatan listrik total daripada semua stasiun distribusi 50-plus tersingkir dalam kombinasi serangan tahun 2015. Untungnya, sistem itu turun hanya satu jam-hampir tidak cukup lama untuk pipa mulai membeku atau penduduk setempat mulai panik-sebelum insinyur Ukrenergo mulai menutup sirkuit secara manual dan membawa semuanya kembali online.
Tapi singkatnya pemadaman itu adalah satu-satunya hal yang kurang mengancam tentang pemadaman 2016. Perusahaan Cybersecurity yang sejak saat itu menganalisis serangan tersebut mengatakan bahwa hal itu jauh lebih berevolusi daripada pada tahun 2015: Virus ini dieksekusi oleh malware yang sangat canggih dan mudah disesuaikan yang sekarang dikenal sebagai “CrashOverride,” sebuah program yang secara jelas dikodekan sebagai kotak otomatis -killing senjata
Startup keamanan infrastruktur penting Lee, Dragos, adalah satu dari dua perusahaan yang membahas kode malware tersebut; Dragos memperolehnya dari pakaian keamanan Slovakia yang disebut ESET. Kedua tim menemukan bahwa, selama serangan tersebut, CrashOverride dapat “berbicara” bahasa dari protokol sistem kontrol yang tidak jelas, dan dengan demikian mengirim perintah langsung ke peralatan grid. Berbeda dengan teknik phantom-mouse dan clone-PC yang melelahkan yang digunakan hacker pada tahun 2015, perangkat lunak baru ini dapat diprogram untuk memindai jaringan korban untuk memetakan target, kemudian diluncurkan pada waktu yang ditentukan sebelumnya, membuka sirkuit dengan isyarat tanpa memiliki Koneksi internet kembali ke para hacker. Dengan kata lain, ini adalah malware pertama yang ditemukan di alam liar sejak Stuxnet yang dirancang untuk secara independen menyabotase infrastruktur fisik.

Dan CrashOverride bukan hanya alat satu kali, hanya disesuaikan dengan grid Ukrenergo. Ini adalah senjata utilitas gangguan utilitas listrik yang dapat digunakan kembali dan sangat mudah disesuaikan, kata periset. Dalam struktur modular perangkat lunak perusak itu, protokol sistem kontrol Ukrenergo dapat dengan mudah ditukar dan diganti dengan yang digunakan di bagian lain Eropa atau Amerika Serikat.
Marina Krotofil, peneliti keamanan sistem kontrol industri untuk Honeywell yang juga menganalisis serangan Ukrenergo, menggambarkan metode para hacker ‘lebih sederhana dan jauh lebih efisien daripada yang digunakan pada serangan tahun sebelumnya. “Pada 2015 mereka seperti sekelompok pejuang jalanan yang brutal,” kata Krotofil. “Pada tahun 2016, mereka adalah ninja.” Tapi para hacker itu sendiri mungkin satu dan sama; Peneliti Dragos telah mengidentifikasi arsitek CrashOverride sebagai bagian dari Sandworm, berdasarkan bukti bahwa Dragos belum siap untuk mengungkapkannya.
Bagi Lee, ini semua adalah tanda-tanda kemajuan Sandworm yang mengganggu. Saya menemuinya di kantor kantor keamanan yang berbasis di Baltimore yang berbasis di Baltimore, Dragos. Di luar jendela kantornya tampak serangkaian tiang tiang yang menahan jalur transmisi. Lee mengatakan kepada saya bahwa mereka membawa kekuatan 18 mil ke selatan, ke jantung Washington, DC.
Untuk pertama kalinya dalam sejarah, Lee menunjukkan, sekelompok hacker telah menunjukkan bahwa mereka bersedia dan mampu menyerang infrastruktur penting. Mereka telah memperbaiki teknik mereka dalam banyak serangan yang terus berkembang. Dan mereka telah menanam malware BlackEnergy di grid AS sebelumnya. “Orang-orang yang memahami jaringan listrik AS tahu bahwa itu bisa terjadi di sini,” kata Lee.
Bagi peretas Sandworm, Lee mengatakan, AS dapat menghadirkan target yang lebih mudah lagi jika mereka memutuskan untuk menyerang grid di sini. Perusahaan-perusahaan tenaga listrik AS lebih terbiasa dengan keamanan dunia maya, tapi juga lebih otomatis dan modern daripada di Ukraina-yang berarti mereka bisa menghadirkan lebih banyak “permukaan serangan” digital. Para insinyur Amerika kurang berpengalaman dalam pemulihan manual dari pemadaman yang sering terjadi.

BACA  Keluar Dari Yahoo, Merissa Mayer Justru dapat $ 186 Juta

Tidak ada yang tahu bagaimana, atau dimana, serangan Sandworm selanjutnya akan terwujud. Pelanggaran di masa depan mungkin tidak menargetkan stasiun distribusi atau transmisi tapi pembangkit listrik yang sebenarnya. Atau bisa juga didesain tidak hanya untuk mematikan peralatan tapi juga untuk menghancurkannya. Pada tahun 2007 sebuah tim peneliti di Idaho National Lab, salah satu yang termasuk Mike Assante, menunjukkan bahwa mungkin untuk menginstall infrastruktur listrik sampai mati: Percobaan Aurora yang disebut tidak menggunakan apa-apa selain perintah digital untuk menghancurkan generator diesel 2,25 megawatt secara permanen. Dalam sebuah video eksperimen, sebuah mesin seukuran ruang tamu batuk dan mengisap asap hitam dan putih dalam pergantian kematiannya. Generator semacam itu tidak semua berbeda dengan peralatan yang mengirimkan ratusan megawatt ke konsumen AS; Dengan memanfaatkan yang benar, ada kemungkinan seseorang bisa secara permanen menonaktifkan peralatan pembangkit tenaga listrik atau transformer besar dan sulit diganti yang berfungsi sebagai tulang punggung sistem transmisi kita. “Washington DC? Sebuah negara-bangsa bisa mengeluarkannya selama dua bulan tanpa banyak masalah, “kata Lee.
Sebenarnya, dalam analisisnya tentang CrashOverride, ESET menemukan bahwa malware tersebut mungkin sudah termasuk salah satu bahan untuk serangan destruktif semacam itu. Periset ESET mencatat bahwa CrashOverride berisi kode yang dirancang untuk menargetkan perangkat Siemens tertentu yang ditemukan di pembangkit listrik – peralatan yang berfungsi sebagai sakelar pembunuh untuk mencegah lonjakan berbahaya pada jalur listrik dan transformer. Jika CrashOverride mampu melumpuhkan ukuran pelindung itu, mungkin sudah bisa menyebabkan kerusakan permanen pada perangkat keras grid.
Insiden penghancuran fisik yang terisolasi mungkin bahkan bukan yang terburuk yang bisa dilakukan hacker. Komunitas cybersecurity Amerika sering berbicara tentang “ancaman terus-menerus yang canggih” – penyusup canggih yang tidak hanya menyusup ke sebuah sistem demi satu serangan tapi tetap di sana, diam-diam menahan diri pada sasaran. Dalam mimpi buruknya, Lee mengatakan, infrastruktur Amerika di hack dengan kegigihan seperti ini: jaringan transportasi, jaringan pipa, atau jaringan listrik yang turun lagi dan lagi oleh musuh yang mengakar. “Jika mereka melakukannya di banyak tempat, Anda bisa mengalami sampai satu bulan padam di seluruh wilayah,” katanya. “Katakan apa yang tidak berubah secara dramatis ketika kota-kota utama di separuh wilayah AS tidak memiliki kekuasaan selama sebulan.”
Bagaimanapun, satu hal untuk merenungkan apa yang bisa dilakukan aktor seperti Rusia terhadap grid Amerika; Ini adalah satu lagi untuk merenungkan mengapa hal itu terjadi. Serangan grid terhadap utilitas Amerika hampir pasti akan menghasilkan pembalasan segera yang serius oleh AS. Beberapa analis keamanan maya berpendapat bahwa tujuan Rusia hanyalah untuk menentukan strategi cyberwarman Amerika sendiri: Dengan mematikan lampu di Kiev – dan dengan menunjukkan bahwa ia mampu menembus grid Amerika – Moskow mengirim sebuah pesan yang memperingatkan AS untuk tidak mencoba Stuxnet- Serangan gaya terhadap Rusia atau sekutu-sekutunya, seperti diktator Suriah Bashar al-Assad. Dalam pandangan itu, ini semua adalah permainan pencegahan.

Markas besar perusahaan Yasinsky

Information Systems Security Partners, menempati sebuah bangunan rendah di sebuah kawasan industri di Kiev, dikelilingi oleh lapangan olah raga yang berlumpur dan tingginya abu-abu yang runtuh-beberapa dari banyak souvenir abadi dari Uni Soviet. Di dalam, Yasinsky duduk di ruangan yang gelap di balik meja bundar yang diliputi peta jaringan sepanjang 6 kaki yang menunjukkan simpul dan koneksi kompleksitas Borgesian. Setiap peta mewakili garis waktu gangguan oleh Sandworm. Saat ini, kelompok hacker telah menjadi fokus utama karyanya selama hampir dua tahun, kembali menyerang pertama di StarLightMedia.
Yasinsky mengatakan bahwa dia telah berusaha mempertahankan perspektif yang tidak memihak pada para penyusup yang menggeledah negaranya. Tapi saat pemadaman listrik meluas ke rumahnya sendiri empat bulan yang lalu, itu “seperti dirampok,” katanya padaku. “Itu semacam pelanggaran, saat Anda menyadari ruang pribadi Anda hanyalah ilusi.”
Yasinsky mengatakan tidak ada cara untuk mengetahui secara pasti berapa banyak lembaga Ukraina terkena dampak meningkatnya serangan cyber; Hitungan apapun dapat dianggap remeh. Untuk setiap target yang diketahui publik, setidaknya ada satu korban rahasia yang tidak mengaku dilanggar – dan masih ada target lain yang belum menemukan penyusup di sistem mereka.

 

Ketika kita bertemu di kantor ISSP, sebenarnya, gelombang invasi digital berikutnya sudah berlangsung. Di balik Yasinsky, dua staf berjanggut yang lebih muda terkunci di keyboard dan layar mereka, menyingkirkan malware yang diperoleh perusahaan itu beberapa hari sebelumnya dari putaran baru email phishing. Serangan tersebut, Yasinsky telah memperhatikan, telah menyelesaikan sebuah siklus musiman: Selama bulan-bulan pertama tahun ini, para hacker meletakkan dasar mereka, dengan diam-diam menembus sasaran dan menyebarkan pijakan mereka. Pada akhir tahun, mereka melepaskan muatan mereka. Yasinsky tahu sekarang bahwa meskipun dia menganalisis serangan grid tahun lalu, benih tersebut telah ditaburkan untuk kejutan pada 2017 di bulan Desember.
Menguatkan diri untuk putaran berikutnya, kata Yasinsky, seperti “belajar untuk ujian akhir yang mendekati.” Tetapi dalam skema besar, dia berpikir bahwa apa yang dihadapi Ukraina selama tiga tahun terakhir mungkin hanyalah serangkaian tes latihan.
Dia meringkas niat penyerang sampai sekarang dalam satu kata Rusia: poligon. Tempat latihan. Bahkan dalam serangan mereka yang paling merusak, Yasinsky mengamati, para peretas bisa saja melangkah lebih jauh. Mereka bisa saja menghancurkan bukan hanya data yang tersimpan Kementerian Keuangan namun juga backupnya. Mereka mungkin bisa saja telah menjatuhkan stasiun transmisi Ukrenergo lebih lama atau menyebabkan kerusakan fisik permanen pada grid, katanya – sebuah pengekangan yang menurut analis Amerika seperti Assante dan Lee juga mencatat. “Mereka masih bermain dengan kami,” kata Yasinsky. Setiap kali, para hacker mundur sebelum mencapai kemungkinan kerusakan maksimal, seolah-olah memesan kemampuan sejati mereka untuk beberapa operasi masa depan.
Banyak analis keamanan dunia maya telah sampai pada kesimpulan yang sama. Mana yang lebih baik untuk melatih tentara hacker Kremlin dalam pertarungan digital daripada di dalam suasana perang panas yang tidak dipegang di dalam lingkup pengaruh Kremlin? “Sarung tangan dimatikan. Ini adalah tempat di mana Anda bisa melakukan yang terburuk tanpa balas dendam atau tuntutan hukum, “kata Geers, duta besar NATO. “Ukraina bukan Prancis atau Jerman. Banyak orang Amerika tidak dapat menemukannya di peta, jadi Anda bisa berlatih di sana. “(Pada sebuah pertemuan diplomat pada bulan April, sekretaris negara AS Rex Tillerson melangkah lebih jauh untuk bertanya,” Mengapa pembayar pajak AS harus tertarik pada Ukraina? “)

Dalam bayangan pengabaian itu, Rusia tidak hanya memaksakan batas kemampuan teknisnya, kata Thomas Rid, seorang profesor di departemen Studi Perang di King’s College London. Ini juga merasakan tepi dari apa yang akan ditoleransi oleh masyarakat internasional. Kremlin ikut campur dalam pemilihan Ukraina dan tidak menghadapi dampak yang nyata; Kemudian ia mencoba taktik serupa di Jerman, Prancis, dan Amerika Serikat. Peretas Rusia mematikan kekuatan di Ukraina dengan kekebalan hukum – dan, yah, silogisme tidak sulit untuk diselesaikan. “Mereka sedang menguji garis merah, apa yang bisa mereka dapatkan,” kata Rid. “Anda mendorong dan melihat apakah Anda terdorong mundur. Jika tidak, Anda mencoba langkah selanjutnya. ”
Seperti apa langkah selanjutnya? Di ruang belakang yang remang-remang di laboratorium ISSP di Kiev, Yasinsky mengakui bahwa dia tidak tahu. Mungkin pemadaman lain. Atau mungkin serangan yang ditargetkan pada fasilitas air. “Gunakan imajinasimu,” sarannya datar.
Di belakangnya cahaya sore yang memudar menerangi tirai, membuat wajahnya menjadi siluet gelap. “Cyberspace bukanlah target tersendiri,” kata Yasinsky. “Ini media.” Dan media itu menghubungkan, ke segala arah, ke mesin peradaban itu sendiri.

What do you think?

0 points
Upvote Downvote

Total votes: 0

Upvotes: 0

Upvotes percentage: 0.000000%

Downvotes: 0

Downvotes percentage: 0.000000%

Leave a Reply

Your email address will not be published. Required fields are marked *