Penelitian baru telah mengungkap lebih dari 145.000 Sistem Kontrol Industri (ICS) yang terpapar internet di 175 negara, dan Amerika Serikat sendiri menyumbang lebih dari sepertiga dari total paparan.
Analisis tersebut, yang berasal dari perusahaan manajemen permukaan serangan Censys, menemukan bahwa 38% perangkat berlokasi di Amerika Utara, 35,4% di Eropa, 22,9% di Asia, 1,7% di Oseania, 1,2% di Amerika Selatan, dan 0,5% di Amerika. Afrika.
Negara-negara dengan paparan layanan ICS terbanyak meliputi AS (lebih dari 48.000), Turki, Korea Selatan, Italia, Kanada, Spanyol, Tiongkok, Jerman, Prancis, Inggris, Jepang, Swedia, Taiwan, Polandia, dan Lituania.
Metrik tersebut berasal dari paparan beberapa protokol ICS yang umum digunakan seperti Modbus, IEC 60870-5-104, CODESYS, OPC UA, dan lainnya.
Salah satu aspek penting yang menonjol adalah bahwa permukaan serangan unik secara regional: Modbus, S7, dan IEC 60870-5-104 lebih banyak diamati di Eropa, sedangkan Fox, BACnet, ATG, dan C-more lebih sering ditemukan di Utara. Amerika. Beberapa layanan ICS yang digunakan di kedua wilayah tersebut antara lain EIP, FINS, dan WDBRPC.
Terlebih lagi, 34% dari antarmuka manusia-mesin (HMI) C-more terkait dengan air dan air limbah, sementara 23% terkait dengan proses pertanian.
“Banyak dari protokol ini sudah ada sejak tahun 1970an, namun tetap menjadi dasar proses industri tanpa peningkatan keamanan yang sama seperti yang terjadi di seluruh dunia,” kata Zakir Durumeric, salah satu pendiri dan kepala ilmuwan Censys, dalam sebuah pernyataan.
“Keamanan perangkat ICS merupakan elemen penting dalam melindungi infrastruktur penting suatu negara. Untuk melindunginya, kita harus memahami perbedaan bagaimana perangkat ini terekspos dan rentan.”
Serangan dunia maya yang secara khusus menargetkan sistem ICS relatif jarang terjadi, dan hingga saat ini hanya sembilan jenis malware yang ditemukan. Meskipun demikian, terdapat peningkatan malware yang berpusat pada ICS dalam beberapa tahun terakhir, terutama setelah perang Rusia-Ukraina yang sedang berlangsung.
Awal Juli ini, Dragos mengungkapkan bahwa sebuah perusahaan energi yang berlokasi di Ukraina menjadi sasaran malware yang dikenal sebagai FrostyGoop, yang diketahui memanfaatkan komunikasi Modbus TCP untuk mengganggu jaringan teknologi operasional (OT).
Juga disebut BUSTLEBERM, malware ini adalah alat baris perintah Windows yang ditulis dalam Golang yang dapat menyebabkan perangkat yang terbuka secara publik tidak berfungsi dan pada akhirnya mengakibatkan penolakan layanan (DoS).
“Meskipun pelaku jahat menggunakan malware tersebut untuk menyerang perangkat kontrol ENCO, malware tersebut dapat menyerang perangkat jenis apa pun yang menggunakan Modbus TCP,” kata peneliti Palo Alto Networks Unit 42 Asher Davila dan Chris Navarrete dalam laporan yang diterbitkan awal pekan ini.
“Rincian yang diperlukan oleh FrostyGoop untuk membuat koneksi Modbus TCP dan mengirim perintah Modbus ke perangkat ICS yang ditargetkan dapat diberikan sebagai argumen baris perintah atau disertakan dalam file konfigurasi JSON terpisah.”
Menurut data telemetri yang diambil oleh perusahaan, 1,088,175 perangkat Modbus TCP terpapar ke internet selama periode satu bulan antara 2 September dan 2 Oktober 2024.
Pelaku ancaman juga mengincar entitas infrastruktur penting lainnya seperti otoritas air. Dalam sebuah insiden yang tercatat di AS tahun lalu, Otoritas Air Kota Aliquippa, Pennsylvania, dibobol dengan memanfaatkan programmable logic controller (PLC) Unitronics yang terpapar internet untuk merusak sistem dengan pesan anti-Israel.
Censys menemukan bahwa HMI, yang digunakan untuk memantau dan berinteraksi dengan sistem ICS, juga semakin banyak tersedia melalui Internet untuk mendukung akses jarak jauh. Mayoritas HMI yang terpapar berada di AS, diikuti oleh Jerman, Kanada, Prancis, Austria, Italia, Inggris, Australia, Spanyol, dan Polandia.
Menariknya, sebagian besar layanan HMI dan ICS yang teridentifikasi berada di penyedia layanan internet (ISP) seluler atau kelas bisnis seperti Verizon, Deutsche Telekom, Magenta Telekom, dan Turkcell, menawarkan metadata yang dapat diabaikan tentang siapa yang sebenarnya menggunakan sistem.
“HMI seringkali memuat logo perusahaan atau nama tanaman yang dapat membantu identifikasi pemilik dan sektornya,” kata Censys. “Protokol ICS jarang memberikan informasi yang sama, sehingga hampir tidak mungkin untuk mengidentifikasi dan memberi tahu pemilik mengenai paparan. Kerjasama dari perusahaan telekomunikasi besar yang menjadi tuan rumah layanan ini mungkin diperlukan untuk memecahkan masalah ini.”
Jaringan ICS dan OT menyediakan permukaan serangan yang luas untuk dieksploitasi oleh pelaku kejahatan sehingga mengharuskan organisasi mengambil langkah-langkah untuk mengidentifikasi dan mengamankan perangkat OT dan ICS yang terpapar, memperbarui kredensial default, dan memantau jaringan untuk aktivitas jahat.
Risiko terhadap lingkungan seperti itu diperburuk dengan lonjakan malware botnet — Aisuru, Kaiten, Gafgyt, Kaden, dan LOLFME – yang mengeksploitasi kredensial default OT untuk tidak hanya menggunakannya untuk melakukan serangan penolakan layanan terdistribusi (DDoS), namun juga menghapus data. data yang ada di dalamnya.
Pengungkapan ini terjadi beberapa minggu setelah Forescout mengungkapkan bahwa stasiun kerja Pencitraan dan Komunikasi Digital dalam Kedokteran (DICOM) dan Sistem Pengarsipan dan Komunikasi Gambar (PACS), pengontrol pompa, dan sistem informasi medis adalah perangkat medis yang paling berisiko bagi organisasi pemberian layanan kesehatan (HDO).
DICOM adalah salah satu layanan yang paling banyak digunakan oleh perangkat Internet of Medical Things (IoMT) dan salah satu yang paling terekspos secara online, kata perusahaan keamanan siber tersebut, dengan sejumlah besar kasus berlokasi di AS, India, Jerman, Brasil, Iran, dan Cina.
“Organisasi layanan kesehatan akan terus menghadapi tantangan dengan perangkat medis yang menggunakan sistem lama atau non-standar,” kata Daniel dos Santos, kepala penelitian keamanan di Forescout.
“Satu titik lemah dapat membuka pintu bagi data pasien yang sensitif. Itu sebabnya mengidentifikasi dan mengklasifikasikan aset, memetakan aliran jaringan komunikasi, mensegmentasi jaringan, dan pemantauan berkelanjutan sangat penting untuk mengamankan jaringan layanan kesehatan yang berkembang.”