tirto.id - Senin 12 Juni, gabungan penelitian antara ESET, salah satu pembuat antivirus terkemuka, dan Dragos, firma keamanan infrastruktur, mengungkapkan penyebab serangan pada 17 Desember 2016 yang menimpa jaringan listrik Ukraina. Penelitian menyebutkan, lumpuhnya jaringan listrik di Ukraina itu disebabkan oleh malware atau program jahat yang sengaja dirancang untuk melumpuhkan jaringan listrik. Malware yang menyerang jaringan listrik tersebut dinamakan “Industroyer” atau “Crash Override”.
Para peneliti dari dua firma berbeda tersebut mengungkapkan, Industroyer alias Crash Override, merupakan malware yang cukup istimewa. Malware itu bisa melakukan pemadaman listrik secara otomatis dalam utilitas yang berbeda, dan digunakan pada banyak target secara bersama-sama. Malware tersebut dapat juga digunakan ulang untuk melakukan serangan selanjutnya.
Ukraina juga pernah mengalami kejadian serupa pada Desember 2015. Tetapi, dua serangan yang menyasar jaringan kelistrikan tersebut, disebabkan oleh dua malware berbeda. Jika serangan pada Desember 2016 disebabkan oleh malware bernama Industroyer, serangan pada Desember 2015 disebabkan oleh malware yang bernama BlackEnergy.
Antara Industroyer dan BlackEnergy, meskipun kedua malware tersebut menyasar objek yang serupa, tetapi menurut penelitian yang dilakukan ESET dan Dragos, keduanya disusun oleh kode pemrograman yang berbeda. Secara lebih sederhana, Industroyer diciptakan dari nol dan bukan merupakan pengembangan dari BlackEnergy.
Robert M. Lee, pendiri Dragos, sebagaimana dikutip dari Wired mengungkapkan, “(Industroyer) jauh lebih terukur (dibandingkan BlackEnergy).” Diperkirakan, pada serangan yang terjadi di Desember 2015, dibutuhkan lebih dari 20 orang peretas untuk melakukan serangan pada tiga titik perusahaan listrik yang menjadi target. "Kini (dengan Industroyer) 20 orang tersebut dapat menyerang 10 atau 15 lokasi dan bahkan lebih," jelas Lee.
Industroyer, menurut ESET maupun Dragos, merupakan malware yang sangat kuat. Berbeda dengan BlackEnergy, Industroyer bisa melakukan pengrusakan bahkan secara otomatis tanpa bantuan peretas sekalipun. Peretas, yang melakukan serangan menggunakan Industroyer, bisa menjalankan malware tersebut tanpa bimbingan si peretas untuk melakukan pengrusakan. Hebatnya, Industroyer masih bisa melakukan aksinya, bahkan jika sistem yang diserangnya, terputus dari koneksi internet. Lee mengungkapkan bahwa cara kerja Industroyer mirip seperti cara kerja bom yang dikendalikan memanfaatkan Timer alias alat pengatur waktu. Peretas, bisa merancang kapan si malware melakukan aksinya, bahkan sebelum si malware tersebut menyusup pada target. Ada atau tidak adanya koneksi internet, menjadi tidak relevan kala malware tersebut melakukan aksinya.
Kemampuan otomatis tersebut, merupakan yang kedua yang dimiliki suatu malware. Malware yang memiliki kemampuan demikian, menilik sejarah, kali pertama dimiliki oleh malware bernama Stuxnet. Stuxnet jelas bukanlah malware biasa. Stuxnet adalah malware klasik yang menjadi bencana bagi suatu negara. Malware stuxnet, digunakan oleh Amerika Serikat dan Israel untuk menyerang sistem pengembangan nuklir Iran pada tahun 2010 lalu.
Selain kemampuan otomatis tersebut, Industroyer juga istimewa karena kemudahannya dimodifikasi untuk menyerang target lainnya. ESET, dalam sebuah pernyataan sebagaimana dikutip dari Reuters mengungkapkan, malware ini bisa dapat dengan mudah diubah maksud dan tujuan serangan pada target lainnya. Selain itu, Robert Lipovsky, peneliti ESET menilai dampak potensial (akibat Industroyer) sangat besar.
"Ini adalah peringatan keras untuk fakta bahwa tidak ada (tujuan khusus Industroyer digunakan) secara unik untuk (menyerang) Ukraina. Mereka (pembuat Industroyer) membuat platform yang bisa digunakan untuk menyerang di masa depan," jelas Lee.
Departeman keamanan dalam negeri Amerika Serikat menyatakan bahwa bagian dari malware Crash Override dapat dimodifikasi untuk menyerang sistem dan jaringan informasi penting Amerika Serikat. Lee menambahkan bahwa malware Industroyer bisa digunakan untuk menyerang sistem kelistrikan di seluruh Eropa hanya dengan melakukan modifikasi sedikit pada malware tersebut.
Selain keunggulan-keunggulan di atas, ada satu hal lagi yang membuat Industroyer layak diwaspadai setiap negara di dunia yang tidak ingin infrastrukturnya hancur oleh sang malware. Sebagaimana ditilik dari Wired, Industroyer alias Crash Override, bisa mengakibatkan kerusakan fisik pada objek kelistrikan yang diserangnya. Hal tersebut bisa terjadi lantaran terdapat lubang keamanan pada alat kelistrikan bernama Siprotec buatan Siemens. Industroyer memiliki kemampuan untuk mengeksploitasi lubang keamanan tersebut.
Charles Lim, Chapter Lead Indonesia Honeynet Projet, organisasi nirlaba yang melakukan riset tentang malware mengungkapkan, malware Industroyer memang sangat berbahaya. "Konsepnya tetap sama, menyerang infrastruktur Industrial Control System," katanya.
Sayangnya, baik ESET maupun Dragos, tidak mengetahui siapa di balik malware tersebut. Namun, melihat bahwa malware tersebut digunakan untuk menyerang Ukraina, negara yang sedang berkonflik dengan Rusia, kuat dugaan bahwa Rusia merupakan pihak yang berada di balik Industroyer. Tapi, Rusia telah dengan tegas menyangkal spekulasi tersebut.
Merunut sejarahnya, Industroyer memang merupakan malware pertama yang dibuat untuk menyerang jaringan kelistrikan. Namun, dalam kerangka yang lebih luas, Industroyer merupakan bagian dari malware yang melakukan serangan pada Industrial Control System atau ICS. ICS merupakan istilah yang merujuk pada beberapa jenis sistem kontrol yang digunakan dalam industri. Jika ICS diserang, keseluruhan proses suatu industri akan terhenti aktivitasnya. Dalam kasus Industroyer, jika sistem kelistrikan berhasil diserang, efek sistemik serangan tersebut akan berdampak pada ranah-ranah lainnya. Hal tersebut bisa terjadi lantaran listrik, merupakan entitas dasar yang menjadi fondasi hampir setiap sendi kehidupan.
Industroyer, merupakan malware keempat yang dirancang untuk menyasar ICS. Sebelumnya, telah ada BlackEnergy, Dragonfly, dan Stuxnet.
Stuxnet, merupakan salah satu malware legendaris dalam serangan siber. Stuxnet dan Iran merupakan kisah picisan di negeri siber. Stuxnet, berhasil terdeteksi oleh publik pada Juni 2010. Saat itu, firma keamanan komputer asal Belarus berhasil mengidentifikasi sebuah malware bernama Stuxnet. Nama Stuxnet diambil berdasarkan nama file di dalam kode pemprograman aplikasi jahat tersebut.
Firma keamanan asal Belarus tersebut, berhasil mengidentifikasi si program jahat, setelah mereka mendapatkan email dari pelanggan yang berbasis di Iran yang mengaku bahwa mesin milik mereka terus-terusan mengalami rebooting. Belakangan diketahui, aplikasi jahat tersebut merupakan “senjata” yang sengaja dirancang untuk melumpuhkan sistem fasilitas nuklir Natanz di Iran.
Jon R. Lindsay dalam jurnal berjudul “Stuxnet and the Limits of Cyber Walfare”, mengutip ahli keamanan digital mengungkapkan bahwa Stuxnet merupakan “teknologi paling canggih pada program jahat yang dirancang untuk serangan spesifik.” Definisi lain dari Stuxnet adalah “sebuah ketelitian, misil siber berstandar militer.” Stuxnet bisa melakukan serangan pada komputer skala industri buatan Siemens. Umumnya, komputer tersebut digunakan untuk mengelola jalur pipa minyak, pembangkit listrik, dan digunakan untuk mengelola pembangkit tenaga nuklir.
Merujuk data Statista, pada tahun 2010, sebanyak 58,31 persen infeksi malware Stuxnet, terjadi di Iran. Indonesia, secara mengejutkan, berada di posisi 2 sebagai negara yang terinfeksi Stuxnet terbanyak dengan 17,83 persen. Amerika Serikat, sebagai kiblat teknologi dunia, hanya terkena 0,89 persen infeksi Stuxnet. Tak heran memang. Amerika Serikat merupakan aktor di balik malware tersebut.
Sementara itu, malware lainnya adalah Dragonfly. Malware tersebut, dibuat oleh kelompok dengan nama yang sama. Dragonfly merupakan program jahat yang dirancang untuk menyasar operator jaringan enegi, pembangkit listrik, operator pipa minyak bumi, hingga perusahaan penyedia peralatan industri. Paling tidak, ada beberapa negara yang telah merasakan pahitnya serangan malware ini. Merujuk laman resmi Symantec, negara-negara seperti Amerika Serikat, Spanyol, Perancis, Italia, Jerman, Turki, hingga Polandia merupakan negara-negara yang disasar oleh malware tersebut.
Merunut sejarahnya, Dragonfly kali pertama beroperasi pada tahun 2011. Perusahaan pertahanan dan perusahaan penerbangan asal Amerika Serikat dan Kanada, merupakan target pertama mereka. Selanjutnya, kelompok penjahat siber berikut malware-nya tersebut, mengalihkan perhatian pada perusahaan energi di Amerika Serikat dan Eropa pada tahun 2013.
Malware ketiga yang menyasar sistem ICS merupakan BlackEnergy. Merujuk laman Security Week, BlackEnergy merupakan malware yang digunakan untuk menyerang perusahaan media dan perusahaan listrik di Ukrainan. Kali pertama malware BlackEnergy terdeteksi pada tahun 2007. Selain menyerang Ukraina, malware ini pernah terdeteksi juga menyerang Amerika Serikat. iSIGHT, sebuah firma keamanan, mengungkapkan bahwa malware BalckEnergy terkait dengan kelompok penjahat digital bernama Sandworm Team. kelompok tersebut disebut-sebut pernah melakukan serangan pada sistem SCADA di Amerika Serikat dan Eropa. SCADA merupakan kepanjangan dari Supervisory Control and Data Acquisition, sebuah sistem komputer yang mengumpulkan sekaligus menganalisis data yang kali pertama digunakan dunia industri pada dekade 1960an. SCADA umumnya diaplikasikan untuk melakukan pangamatan pada beragam industri.
Malware-malware tersebut, menandakan sebuah kemajuan yang sangat signifikan dalam dunia serangan siber. Selama ini, masyarakat hanya mengenal kerusakan digital akibat serangan siber yang dilakukan. Malware-malware tersebut, merusak jaringan atau sistem yang sangat fundamental terhadap kehidupan manusia seperti jaringan listrik.
Penulis: Ahmad Zaenudin
Editor: Nurul Qomariyah Pramisti
