TEMPO.CO, Jakarta - Setelah pembunuhan Amerika terhadap jenderal Iran Qasem Soleimani dan menyusul serangan rudal pembalasan, para pengamat Iran telah memperingatkan bahwa negara itu dapat mengerahkan serangan siber juga, mungkin bahkan menargetkan infrastruktur kritis AS oleh peretas, seperti jaringan listrik, sebagaimana dilaporkan Wired akhir pekan lalu.

Sebuah laporan baru memberikan beberapa rincian baru tentang sifat ancaman itu. Dari semua bukti, peretas Iran saat ini tidak memiliki kemampuan untuk mulai menyebabkan pemadaman listrik di AS. Tetapi mereka telah bekerja untuk mendapatkan akses ke utilitas listrik Amerika, jauh sebelum ketegangan antara kedua negara memuncak.

Pada Kamis pagi pekan lalu, perusahaan keamanan sistem kontrol industri, Dragos, merinci aktivitas peretasan yang baru terungkap yang telah dilacak dan dikaitkan dengan sekelompok peretas yang disponsori negara yang disebut Magnallium. Grup yang sama juga dikenal sebagai APT33, Refined Kitten, atau Elfin, dan sebelumnya telah dikaitkan dengan Iran.

Dragos mengatakan telah mengamati Magnallium melakukan kampanye luas yang disebut serangan penyemprotan kata sandi, yang menebak serangkaian kata sandi umum untuk ratusan atau bahkan ribuan akun yang berbeda, menargetkan utilitas listrik AS serta perusahaan minyak dan gas.

Kelompok terkait yang oleh Dragos disebut Parisite telah bekerja sama dengan Magnallium, kata perusahaan keamanan itu, yang berusaha untuk mendapatkan akses ke utilitas listrik AS dan perusahaan minyak dan gas dengan mengeksploitasi kerentanan dalam perangkat lunak jaringan pribadi virtual. Kampanye intrusi gabungan kedua kelompok berlangsung sepanjang 2019 dan berlanjut hari ini.

Dragos menolak untuk mengomentari apakah salah satu dari kegiatan tersebut menghasilkan pelanggaran aktual. Laporan itu memperjelas bahwa sistem TI tidak melihat tanda-tanda bahwa peretas Iran dapat mengakses perangkat lunak yang jauh lebih khusus yang mengontrol peralatan fisik di operator jaringan listrik atau fasilitas minyak dan gas. Khususnya pada utilitas listrik, pemadaman listrik secara digital akan membutuhkan kecanggihan yang jauh lebih banyak daripada teknik yang dijelaskan Dragos dalam laporannya.

Tetapi mengingat ancaman serangan balik Iran, pemilik infrastruktur harus tetap waspada terhadap kampanye, kata pendiri Dragos dan mantan analis ancaman intelijen infrastruktur kritis NSA, Rob Lee. Dan mereka harus mempertimbangkan tidak hanya upaya baru untuk menembus jaringan mereka tetapi juga kemungkinan bahwa sistem tersebut telah dikompromikan. "Kekhawatiran saya dengan situasi Iran bukanlah bahwa kita akan melihat beberapa operasi besar baru muncul," kata Lee. "Kekhawatiran saya adalah akses yang mungkin sudah dimiliki kelompok itu."

Kampanye penyemprotan kata sandi dan peretasan VPN yang diamati oleh Dragos tidak terbatas pada operator jaringan atau minyak dan gas, ujar analis Dragos, Joe Slowik. Namun dia juga mengatakan Iran telah menunjukkan "minat yang pasti" pada target infrastruktur kritis yang mencakup utilitas listrik.

"Melakukan hal-hal dengan cara yang begitu meluas, meskipun tampaknya tidak ditargetkan, ceroboh, atau berisik, memungkinkan mereka untuk mencoba membangun beberapa titik akses yang relatif cepat dan murah yang dapat diperluas ke aktivitas lanjutan pada titik yang mereka pilih," kata Slowik, yang sebelumnya menjabat sebagai kepala tim respon insiden Departemen Energi.

Peretas Iran dilaporkan telah melanggar utilitas listrik AS sebelumnya, yang meletakkan dasar bagi potensi serangan terhadap utilitas listrik AS, seperti halnya Rusia dan Cina. Peretas AS melakukan hal yang sama di negara lain juga. Tetapi gelombang penyelidikan jaringan ini akan mewakili kampanye yang lebih baru, menyusul gagalnya kesepakatan nuklir pemerintahan Obama dengan Iran dan ketegangan yang telah meningkat antara AS dan Iran dan hanya sedikit berkurang sejak serangan rudal Iran Selasa malam.

Kampanye penyemprotan kata sandi yang dideskripsikan cocok dengan temuan serupa dari Microsoft. Pada bulan November, Microsoft mengungkapkan bahwa mereka telah melihat Magnallium melakukan kampanye penyemprotan kata sandi di sepanjang waktu yang sama, tetapi menargetkan pemasok sistem kontrol industri dari jenis yang digunakan dalam utilitas listrik, fasilitas minyak dan gas, dan lingkungan industri lainnya. Microsoft memperingatkan pada saat itu bahwa kampanye penyemprotan kata sandi ini bisa menjadi langkah pertama menuju upaya sabotase, meskipun analis lain telah mencatatnya mungkin juga ditujukan untuk spionase industri.

Dragos menolak untuk membagikan rincian kerentanan VPN coba dieksploitasi Parisite. Tetapi ZDNet melaporkan secara terpisah bahwa peretas Iran mengeksploitasi kerentanan baik dalam server Pulse Secure atau VPN Fortinet untuk menanam malware penghapus di dalam perusahaan minyak nasional Bahrain, Bapco. Laporan dari perusahaan keamanan Devcore tahun lalu menemukan kerentanan di kedua Pulse Secure dan VPN Fortinet, serta yang dijual oleh Palo Alto Networks.

WIRED | ZDNET