rokc menabrak mesin di iran
Serangan Siber ROKC Mengganggu Operasi Industri di Iran
Serangkaian serangan siber yang canggih, dikaitkan dengan aktor ancaman yang dikenal sebagai ROKC (Senyawa Pengetuk Minyak Halus), telah menargetkan dan menyebabkan gangguan signifikan terhadap sistem kontrol industri (ICS) dan mesin dalam sektor infrastruktur penting Iran. Insiden-insiden ini, dianalisis oleh perusahaan keamanan siber seperti Dragos Inc., melibatkan manipulasi teknologi operasional yang disengaja (PL) menyebabkan kerusakan fisik atau penghentian operasional, bergerak melampaui pencurian data tradisional. Serangan ini ditandai dengan pemahaman mereka yang mendalam terhadap proses industri dan peralatan vendor tertentu, khususnya sistem penargetan dari Schneider Electric dan Omron. Kampanye ini menyoroti tren yang berkembang dalam konflik siber geopolitik di mana pihak-pihak jahat berusaha menimbulkan kerugian ekonomi dan infrastruktur yang nyata.
Modus Operandi dan Analisis Teknikal
Serangan ROKC menggunakan metode intrusi multi-tahap. Akses awal sering kali diperoleh melalui kompromi jaringan TI, diikuti oleh pergerakan lateral ke lingkungan PL yang terisolasi. Penyerang kemudian menyebarkan logika berbahaya yang dirancang untuk mengganggu pengontrol logika yang dapat diprogram (PLC). Berbeda dengan ransomware yang mengenkripsi data, Muatan ROKC dirancang untuk mengubah logika kontrol atau mengeluarkan perintah destruktif. Misalnya, mereka mungkin mengirim berulang kali "berhenti" perintah untuk memutar turbin atau memanipulasi pengaturan katup untuk menyebabkan ketukan—kondisi yang merusak mesin atau peralatan berputar—yang menyebabkan kegagalan mekanis.
Pembeda utamanya adalah fokus kelompok ini pada perangkat keselamatan dan kontrol industri tertentu. Tabel berikut membandingkan ROKC dengan ancaman siber yang lebih konvensional:
| Fitur | TAHUN / Serangan Merusak PL | Ransomware TI Konvensional |
|---|---|---|
| Sasaran Utama | Teknologi Operasional (ICS, PLC, SCADA) | Teknologi Informasi (Server, Stasiun Kerja) |
| Tujuan Utama | Menyebabkan kerusakan fisik, penghentian proses, atau sabotase | Pemerasan keuangan melalui enkripsi/pencurian data |
| Dampak Utama | Kerugian ekonomi, risiko keselamatan, gangguan infrastruktur | Tidak tersedianya data, biaya keuangan, kerusakan reputasi |
| Aksi Muatan | Mengubah logika kontrol, mengeluarkan perintah destruktif | Mengenkripsi file untuk tebusan |
| Pemulihan | Seringkali memerlukan perbaikan fisik/penggantian peralatan | Biasanya bergantung pada pemulihan sistem dari cadangan |
Pertanyaan Umum
Q1: Apa kepanjangan dari ROKC?
A1: ROKC adalah singkatan dari "Senyawa Pengetuk Minyak Halus." Nama ini diberikan oleh peneliti keamanan siber di Dragos Inc. berdasarkan rangkaian kode malware dan dampak yang diharapkan—penyebabnya "ketukan," suatu bentuk pra-penyalaan yang merusak atau ketidakseimbangan tekanan, dalam mesin industri.
Q2: Sektor mana saja di Iran yang terkena dampaknya?
A2: Meskipun entitas tertentu jarang dikonfirmasi secara resmi, Analisis menunjukkan adanya penargetan di sektor energi Iran, termasuk kilang minyak dan fasilitas industri terkait. Laporan dari lembaga seperti ISNA (Kantor Berita Mahasiswa Iran) telah merujuk pada gangguan dan penutupan pabrik yang tidak dapat dijelaskan yang bertepatan dengan periode aktivitas ROKC yang diketahui.
Q3: Apakah ROKC terkait dengan aktor negara?
A3: Analis keamanan siber menilai dengan keyakinan moderat bahwa ROKC adalah kelompok ancaman Iran. Penargetan infrastruktur penting musuh sejalan dengan doktrin siber yang diumumkan Iran dan sejarah penggunaan ancaman serupa yang berkemampuan OT seperti "Industri" varian yang digunakan melawan Ukraina.
Q4: Bagaimana organisasi dapat mempertahankan diri dari serangan semacam ini?
A4: Pertahanan memerlukan postur keamanan yang berpusat pada OT: segmentasi jaringan yang kuat antara TI dan OT; kontrol akses yang ketat; pemantauan berkelanjutan lalu lintas jaringan OT untuk mencari anomali; dan pemeliharaan pencadangan offline terperinci dari logika dan konfigurasi PLC untuk pemulihan cepat.
Q5: Apakah ada kasus kerusakan fisik yang dikonfirmasi?
A5: Sementara pihak berwenang Iran kerap meremehkan insiden siber, beberapa laporan keamanan siber independen mendokumentasikan kejadian-kejadian di mana aktivitas ROKC berkorelasi langsung dengan penghentian darurat di fasilitas industri. Sifat kode tersebut menegaskan bahwa maksud desainnya adalah gangguan fisik, membuat kerusakan sangat mungkin terjadi jika intrusi berhasil..jpg)
Studi Kasus: Analisis 2022 Kampanye
terlambat 2022, Dragos Inc. mendokumentasikan kampanye ROKC yang diperbarui dengan memanfaatkan kemampuan yang diperbarui. Para penyerang menggunakan teknik baru untuk bertahan dalam jaringan OT dan menyesuaikan muatan mereka untuk pengontrol Schneider Electric versi terbaru.. Investigasi mengungkapkan bahwa kelompok tersebut telah mempelajari dengan cermat manual teknis untuk model PLC tertentu untuk memahami cara mengganggu proses secara maksimal.. Evolusi ini menunjukkan siklus pembangunan berkelanjutan yang bertujuan untuk mengatasi peningkatan pertahanan dan menargetkan infrastruktur yang diperbarui. Kasus ini menggarisbawahi bahwa pelaku ancaman menginvestasikan sumber daya yang signifikan dalam memahami sistem industri pada tingkat yang terperinci guna meningkatkan potensi dan keandalan serangan mereka..
Aktivitas kelompok-kelompok seperti ROKC yang sedang berlangsung menandakan peningkatan ancaman dunia maya yang berbahaya. Hal ini mengubah medan perang dari kerahasiaan data ke integritas dan keamanan fisik dunia nyata, menuntut perubahan mendasar dalam cara negara dan perusahaan melindungi aset industri mereka yang paling penting.