Kelompok hacking terkenal bernama Dragonfly, yang telah beroperasi sejak 2011 telah kembali muncul dan masih tertarik untuk menargetkan Amerika Serikat serta perusahaan-perusahaan Eropa yang beroprasi di sektor energi.
Ya, saya berbicara tentang ‘Dragonfly,’ sebuah kelompok hacker Eropa Timur. Mereka memiliki sumber daya dan peralatan canggih yang bertanggung jawab atas spionase cyber melawan infrastruktur penting perusahaan energi di berbagai negara di tahun-tahun sebelumnya.
Pada tahun 2014, kelompok Dragonfly memasang operasi sabotase terhadap target mereka – terutama operator pipa minyak bumi, perusahaan pembangkit listrik dan penyedia peralatan Sistem Pengendalian Industri atau Industrial Control Systems (ICS) untuk sektor energi.
Periset dari perusahaan keamanan cyber Symantec yang menemukan serangan tersebut sebelumnya sekarang memperingatkan sebuah serangan baru, yang mereka sebut sebagai Dragonfly 2.0.
Mereka mengatakan bahwa “kelompok ini sekarang berpotensi memiliki kemampuan untuk menyabotase atau menguasai sistem . Jika mereka memutuskan untuk melakukannya” dan telah mendapatkan akses yang belum pernah terjadi sebelumnya ke sistem operasional perusahaan energi.
Berikut adalah sorotan utama dari aktivitas kelompok yang digariskan dalam laporan terbaru dari Symantec:
- Grup hacking telah aktif sejak akhir 2015 dan dilaporkan menggunakan taktik dan alat yang sama yang digunakan dalam serangan sebelumnya.
- Tujuan utama kelompok Dragonfly 2.0 adalah mengumpulkan intelijen dan mendapatkan akses ke jaringan organisasi yang ditargetkan, yang pada akhirnya membuat kelompok tersebut mampu melakukan operasi sabotase saat dibutuhkan.
- Dragonfly 2.0 sebagian besar menargetkan sektor energi kritis di A.S., Turki, dan Swiss.
- Seperti kampanye Dragonfly sebelumnya, para hacker menggunakan email berbahaya (berisi konten yang sangat spesifik terkait dengan sektor energi), serangan watering hole, dan perangkat lunak Trojan sebagai vektor serangan awal untuk mendapatkan akses ke jaringan korban.
- Kelompok ini menggunakan toolkit bernama Phishery (tersedia di GitHub) untuk melakukan serangan berbasis email yang menjadi inti serangan injeksi template untuk mencuri kredensial korban.
- Kampanye malware melibatkan beberapa akses remote Trojan yang menyamar sebagai pembaruan Flash yang disebut, Backdoor.Goodor, Backdoor.Dorshel dan Trojan.Karagany.B, yang memungkinkan penyerang untuk memberi akses jarak jauh ke mesin korban.
Namun, periset Symantec tidak menemukan bukti kelompok Dragonfly 2.0 menggunakan kerentanan zero day. Sebagai gantinya, kelompok hacking secara strategis menggunakan alat administrasi yang tersedia untuk umum seperti PowerShell, PsExec, dan Bitsadmin, yang membuat atribusi menjadi lebih sulit.
“Kampanye Dragonfly 2.0 menunjukkan bagaimana penyerang dapat memasuki tahap baru, dengan kampanye baru-baru ini berpotensi memberi mereka akses ke sistem operasional, akses yang dapat digunakan untuk tujuan yang lebih mengganggu di masa mendatang,” kata Symantec.
Serangan cyber pada jaringan energi bukanlah hal baru. Perusahaan energi di Ukraina ditargetkan oleh peretas pada dua kesempatan berbeda pada akhir 2015 dan akhir 2016, sebenarnya menyebabkan pemadaman listrik di beberapa wilayah di Ukraina, menyebabkan pemadaman listrik bagi puluhan ribu warga saat tengah malam.
Selain itu, fasilitas nuklir di Amerika Serikar, termasuk Wolf Creek Nuclear Operating Corporation, ditargetkan oleh sebuah kelompok terkenal Rusia pada bulan Juli tahun ini. Namun untungnya tidak ada bukti jika para peretas dapat memperoleh akses ke sistem operasional atau tidak.
