Infrastruktur kritis Amerika Serikat kembali menjadi sasaran empuk operasi siber. Pejabat AS saat ini mencurigai peretas yang berafiliasi dengan Iran berada di balik gelombang intrusi terhadap Sistem Pengukur Tangki Otomatis (Automatic Tank Gauge / ATG) yang digunakan oleh berbagai Stasiun Pengisian Bahan Bakar Umum (SPBU) di beberapa negara bagian.

Meskipun peretasan ini tidak mengubah volume bahan bakar fisik di dalam tangki, peretas berhasil memanipulasi angka yang tertera pada layar indikator. Manipulasi ini memicu kekhawatiran serius di kalangan keamanan nasional terkait betapa rentannya infrastruktur bahan bakar kritis ketika sistem pengawasannya terhubung ke internet tanpa perlindungan dasar seperti kata sandi (password).

Sistem ATG berfungsi untuk memantau level bahan bakar dan mendeteksi anomali. Namun, dalam kasus ini, peretas tidak perlu menggunakan teknik eksploitasi tingkat lanjut atau membobol SPBU secara fisik.

Baca Juga: Era Baru Senjata Siber, Google Konfirmasi AI Digunakan Peretas untuk Ciptakan Zero-Day

Sistem ATG yang menjadi korban dilaporkan terekspos langsung ke internet tanpa perlindungan kata sandi. Akses terbuka ini memungkinkan penyusup oportunistik untuk masuk dan mengubah apa yang dilihat operator di layar pemantauan mereka. Meskipun tidak ada kerusakan fisik yang dilaporkan, pakar memperingatkan skenario terburuk: jika kebocoran bahan bakar fisik benar-benar terjadi, manipulasi indikator ATG dapat menutupi kebocoran tersebut dari pengawasan staf, sehingga menciptakan risiko keselamatan publik yang fatal.

Fokus penyelidikan mengarah pada Iran karena rekam jejak historis mereka dalam menargetkan infrastruktur yang minim perlindungan (lightly protected).

• Pola Historis: Iran kerap menggunakan alat siber untuk menyerang sistem AS yang mudah diakses di sektor minyak, gas, dan air. Pasca-serangan 7 Oktober 2023, AS menyalahkan peretas Garda Revolusi Islam (IRGC) Iran atas peretasan utilitas air AS (menampilkan pesan propaganda di layar mesin tekanan air).
• Bukti Eksperimen (Honeypot): Sejak lama, peneliti telah memperingatkan kerentanan ATG. Pada 2015, firma keamanan Trend Micro melakukan uji coba dengan menempatkan sistem ATG tiruan (honeypot) secara daring; hasilnya, grup peretas pro-Iran dengan cepat mendeteksi dan menargetkan sistem tersebut.

Namun, pejabat mencatat bahwa atribusi absolut mungkin sulit dicapai jika peretas tidak meninggalkan banyak jejak forensik.

Gelombang intrusi indikator bahan bakar ini selaras dengan peningkatan agresivitas siber Teheran selama konflik geopolitik berlangsung. Beberapa bulan terakhir, peretas terkait Teheran dituduh mendisrupsi situs migas AS, sistem air, penundaan pengiriman di perusahaan Stryker, hingga membocorkan email pribadi Direktur FBI, Kash Patel.

Allison Wikoff, Direktur Tim Intelijen Ancaman PwC, dan Yossi Karadi, Kepala Direktorat Siber Nasional Israel, sepakat bahwa operasi siber Iran dalam 18 bulan terakhir menunjukkan "peningkatan signifikan dalam skala, kecepatan, dan integrasi antara operasi siber dan kampanye psikologis." Iran kini mampu menciptakan malware yang "cukup baik" (good-enough) secara cepat dan makin agresif dalam operasi retas-dan-bocor (hack-and-leak).

Di sisi lain, Alex Orleans, peneliti di Sublime Security, menilai minimnya kerusakan fisik berskala luas mencerminkan bahwa akses Iran sebenarnya masih terbatas dan mereka sedang melakukan perhitungan strategis.

Kasus ini adalah pengingat keras tentang bahaya laten dari konvergensi antara TI (Teknologi Informasi) dan OT (Operational Technology). Perangkat operasional industri (seperti ATG) sering kali dirancang untuk fungsionalitas dan kemudahan akses teknisi, bukan untuk keamanan siber.

Dari kacamata arsitektur keamanan korporat, Fourtrezz menyoroti kelemahan struktural dan langkah mitigasi berikut:

1. Sindrom Aset Terlupakan (Shadow IoT/OT): Insiden ini membuktikan bahwa musuh tidak selalu membutuhkan malware canggih (seperti zero-day). Mereka hanya menggunakan mesin pencari aset IoT (seperti Shodan atau Censys) untuk memindai alamat IP yang membuka port panel admin tanpa kata sandi. Perusahaan energi harus segera melakukan Audit Permukaan Serangan Eksternal (EASM) untuk memetakan aset OT apa saja yang terekspos ke internet publik.
2. Isolasi Jaringan (Segmentasi): Sistem kontrol industri (ICS) seperti indikator bahan bakar atau pompa air tidak boleh memiliki rute langsung ke internet publik. Akses pemantauan jarak jauh harus ditempatkan di belakang VPN yang diamankan dengan Autentikasi Multi-Faktor (MFA), bukan sekadar port forwarding yang telanjang.
3. Dampak Psikologis dan Politik: Dalam konteks infrastruktur sipil, mengubah angka di layar sudah cukup untuk menciptakan kepanikan massa, kebingungan staf, dan ketidakpercayaan publik. Mengingat jajak pendapat CNN terbaru menunjukkan 75% orang dewasa AS merasakan dampak ekonomi negatif dari konflik ini, disrupsi kecil pada SPBU dapat memicu eskalasi harga dan kepanikan sosial yang tidak proporsional.

Keamanan infrastruktur bukan hanya tentang mencegah ledakan mesin; ini tentang menjaga integritas data yang diandalkan oleh operator manusia setiap detiknya.