Sebuah laporan terbaru dari Mandiant Google mengungkap bahwa hacker terkenal Rusia yang dikenal sebagai Sandworm telah menargetkan gardu listrik di Ukraina pada tahun lalu, menyebabkan pemadaman listrik singkat pada Oktober 2022. Mandiant Google menggambarkan peretasan tersebut sebagai “serangan cyber multi-peristiwa” yang memanfaatkan teknik baru untuk mempengaruhi sistem kontrol industri (ICS).
Baca Juga : Tombol Pemutus “Kill Switch” Mengguncang Botnet Mozi: Penurunan Aktivitas Tak Terduga Terjadi
Dilaporkan bahwa Sandworm menggunakan teknik living-off-the-land (LotL) tingkat OT, yang kemungkinan membuat pemutus arus gardu induk korban tersandung, menyebabkan pemadaman listrik yang tidak direncanakan. Kejadian ini juga bersamaan dengan serangan rudal massal terhadap infrastruktur penting di seluruh Ukraina.
Setelah serangan awal, Sandworm melanjutkan dengan menerapkan varian baru CaddyWiper di lingkungan teknologi informasi (TI) korban. Perusahaan intelijen ancaman tidak merinci lokasi fasilitas energi yang ditargetkan, durasi pemadaman listrik, dan jumlah orang yang terkena dampak.
Ini bukan kali pertama Sandworm terlibat dalam serangan yang mengganggu jaringan listrik Ukraina. Upaya serupa telah dilakukannya setidaknya sejak tahun 2015, menggunakan malware seperti Industroyer.
Meskipun vektor awal pasti yang digunakan untuk serangan cyber-fisik masih belum jelas, diyakini bahwa penggunaan teknik LotL oleh Sandworm mengurangi waktu dan sumber daya yang diperlukan untuk melakukan serangan tersebut. Intrusi tersebut diduga terjadi sekitar bulan Juni 2022, ketika Sandworm mendapatkan akses ke lingkungan teknologi operasional (OT) melalui hypervisor yang menjadi tuan rumah bagi instansi manajemen pengawasan pengawasan dan akuisisi data (SCADA) untuk lingkungan gardu induk korban.
Baca Juga : Indonesia Rentan Terhadap Serangan Siber: Masyarakat dan Perbankan Waspadai Ancaman
Pada 10 Oktober 2022, file gambar cakram optik (ISO) digunakan untuk meluncurkan malware yang mampu mematikan gardu induk, menyebabkan pemadaman listrik tidak terjadwal. Varian baru CaddyWiper kemudian disebarkan oleh Sandworm di lingkungan TI korban, menyebabkan gangguan lebih lanjut dan berpotensi menghilangkan artefak forensik.
Mandiant menekankan bahwa serangan ini merupakan ancaman langsung terhadap lingkungan infrastruktur penting Ukraina yang memanfaatkan sistem kontrol pengawasan MicroSCADA. Dengan mempertimbangkan aktivitas ancaman global Sandworm, perusahaan dan pemilik aset di seluruh dunia disarankan untuk mengambil tindakan untuk memitigasi risiko terhadap sistem teknologi informasi (TI) dan teknologi operasional (OT).
