Sesi 5 — Ancaman & Kerentanan SCADA

5.1Lanskap Ancaman Siber terhadap ICS/SCADA

Sistem SCADA yang dulunya terisolasi secara fisik kini semakin terhubung dengan jaringan korporat dan internet. Transformasi ini membuka permukaan serangan yang sebelumnya tidak ada, menjadikan ICS target utama aktor siber dari berbagai motivasi.

⚠ STATISTIK ANCAMAN ICS GLOBAL

Berdasarkan laporan Dragos, Claroty, dan ICS-CERT:

Lebih dari 900 kerentanan ICS ditemukan setiap tahun (2022–2024)
70% kerentanan berada di lapisan supervisory (SCADA/DCS software)
Serangan terhadap infrastruktur kritis meningkat 140% sejak 2020
Sektor energi menjadi target nomor 1 (39% dari total insiden ICS)
Rata-rata 280 hari attacker berada di dalam jaringan OT sebelum terdeteksi

Kategorisasi Aktor Ancaman

■ CRITICAL — NATION-STATE

Aktor Negara

Kelompok disponsori pemerintah. Tujuan: sabotase infrastruktur lawan, spionase, atau perang siber. Sangat canggih, sumber daya tak terbatas. Contoh: APT28 (Rusia), Lazarus Group (Korea Utara).

■ CRITICAL — RANSOMWARE

Kelompok Ransomware

Motivasi finansial. Mengenkripsi data operasional atau mengancam mengganggu proses jika tidak dibayar. Colonial Pipeline ($4,4 juta) dan JBS Foods ($11 juta) adalah contoh nyata.

▲ HIGH — HACKTIVISM

Hacktivist

Motivasi ideologis/politik. Menarget utilitas publik untuk membuat pernyataan. Anonymous, Killnet, dan kelompok sejenis. Umumnya DDoS atau defacement HMI.

▲ HIGH — INSIDER THREAT

Orang Dalam

Karyawan/kontraktor yang disengaja (sabotase, dendam) atau tidak sengaja (human error). Memiliki akses fisik dan logis yang sah — sangat sulit dideteksi.

● MEDIUM — OPPORTUNIST

Oportunistik

Attacker yang menemukan sistem SCADA terekspos di internet (via Shodan) dan mencoba exploit. Tidak selalu punya target spesifik — cari kelemahan mudah.

● MEDIUM — COMPETITOR

Kompetitor Industri

Spionase industri. Mengambil formula produksi, proses rahasia, atau data operasional. Jarang mengganggu, lebih fokus pada pengintaian (reconnaissance).

5.2Vektor Serangan pada Sistem SCADA

Vektor serangan adalah jalur atau metode yang digunakan attacker untuk mendapatkan akses ke sistem target. Memahami vektor ini adalah langkah pertama untuk membangun pertahanan yang efektif.

A. Serangan via IT Network (IT→OT Pivot)

◈ SERANGAN IT → OT PIVOT — JALUR PALING UMUM ◈

LANGKAH 1

Phishing Email

Email ke karyawan berisi malware attachment

→

LANGKAH 2

IT Network

Malware aktif di PC karyawan, lateral movement

→

LANGKAH 3

Pivot ke OT

Eksploitasi koneksi IT/OT yang tidak tersegmentasi

→

LANGKAH 4

SCADA Access

Akses ke HMI/SCADA server dalam OT network

→

LANGKAH 5

PLC Command

Kirim perintah berbahaya ke PLC/RTU di lapangan

B. Remote Access Exploitation

⚠ REMOTE ACCESS — VEKTOR PALING BANYAK DIEKSPLOITASI

Selama dan setelah pandemi COVID-19, remote access ke SCADA meningkat drastis untuk maintenance jarak jauh. Ini membuka vektor serangan baru yang serius:

VPN tanpa MFA — Credential dicuri via phishing → attacker login langsung ke OT network
RDP/VNC terbuka — Port 3389 (RDP) atau 5900 (VNC) exposed ke internet tanpa enkripsi atau dengan password lemah
Vendor/Kontraktor Remote — Vendor maintenance menggunakan TeamViewer, AnyDesk tanpa kontrol keamanan memadai (kasus Oldsmar)
Jump Server Lemah — Bastion host yang seharusnya menjadi pintu masuk aman, tapi tidak dikonfigurasi dengan benar

C. Insider Threat — Ancaman dari Dalam

TIPE	MOTIVASI	METODE	DAMPAK POTENSIAL
Malicious Insider	Dendam, sabotase, dibayar kompetitor/musuh	Memanipulasi setpoint, menghapus backup, memasang malware	Sangat Tinggi — akses sah ke semua sistem
Negligent Insider	Tidak disengaja — kelalaian, ignorance	Pasang USB sembarangan, klik phishing, misconfiguration	Tinggi — bisa jadi pintu masuk serangan eksternal
Compromised Insider	Akun karyawan diambil alih attacker	Credential theft, social engineering, session hijacking	Tinggi — attacker pakai akun sah → sulit dideteksi
Third-party Insider	Kontraktor/vendor dengan akses terbatas	Melebihi batas akses, meninggalkan backdoor sengaja	Sedang–Tinggi tergantung scope akses

D. Supply Chain Attack

⚠ SUPPLY CHAIN ATTACK — ANCAMAN TERSEMBUNYI

Attacker mengkompromisi vendor software/hardware yang dipercaya, lalu menyusupkan malware ke dalam produk yang dikirimkan ke target. Karena berasal dari sumber terpercaya, sangat sulit dideteksi.

Contoh kasus SCADA:

SolarWinds (2020) — Update software monitoring yang terinfeksi menyebar ke 18.000+ organisasi termasuk pemerintah dan infrastruktur kritis
Backdoor di Firmware PLC — Ditemukan backdoor tersembunyi di beberapa firmware PLC dari vendor asal Tiongkok yang dijual di pasar global
Compromised IED Firmware — Update firmware untuk relay proteksi yang telah dimodifikasi untuk berperilaku berbeda saat kondisi tertentu

5.3Kerentanan Protokol Legacy — Modbus dan Lainnya

Protokol industrial yang dirancang puluhan tahun lalu memiliki kelemahan keamanan fundamental karena pada era tersebut ancaman siber tidak diperhitungkan dalam desainnya.

DEMONSTRASI EKSPLOITASI MODBUS TCP

╔═══════════════════════════════════════════════════════════════╗
║   SKENARIO: ATTACKER DI DALAM JARINGAN OT (sudah dapat akses) ║
╚═══════════════════════════════════════════════════════════════╝

// LANGKAH 1: Scan jaringan untuk device Modbus TCP
$ nmap -p 502 --open 192.168.10.0/24
  PORT    STATE  SERVICE
  502/tcp  open   modbus  → 192.168.10.51 (PLC-A)
  502/tcp  open   modbus  → 192.168.10.52 (PLC-B)

// LANGKAH 2: Baca semua Holding Registers (Function Code 03)
$ python3 modbus_read.py --host 192.168.10.51 --fc 03 --start 0 --count 100
  Register[0]  = 1250  ← Suhu Boiler (°C × 10) = 125.0°C
  Register[1]  = 850   ← Tekanan Steam (kPa × 10) = 85.0 kPa
  Register[2]  = 3500  ← RPM Pompa Feedwater
  Register[40] = 1     ← Status Valve-01 (1=OPEN, 0=CLOSED)

// LANGKAH 3: Ubah setpoint suhu (Function Code 06) — BERBAHAYA!
$ python3 modbus_write.py --host 192.168.10.51 --fc 06 --reg 10 --val 9999
  // Register 10 = Setpoint Suhu Maksimum
  // Original: 1500 (150.0°C) → Ditulis: 9999 (999.9°C !!)
  ⚠ TIDAK ADA AUTENTIKASI — PERINTAH DITERIMA DAN DIEKSEKUSI!

// LANGKAH 4: Tutup semua valve sekaligus (Function Code 0F)
$ python3 modbus_write.py --host 192.168.10.51 --fc 15 --start 0 --count 16 --vals 0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0
  ⚠ SEMUA 16 VALVE DITUTUP SERENTAK — PROSES TERGANGGU TOTAL!

// Tidak ada log, tidak ada autentikasi, tidak ada jejak →
// Operator hanya melihat alarm di HMI tanpa tahu penyebabnya

PROTOKOL	KERENTANAN UTAMA	DAMPAK EKSPLOITASI	MITIGASI
Modbus RTU/TCP	Tanpa autentikasi, tanpa enkripsi, tanpa integritas	Baca/tulis semua register, kontrol penuh proses	Firewall, VPN, IDS OT, network segmentation
DNP3 (tanpa SA)	Tanpa autentikasi di versi dasar	Replay attack, command injection	DNP3 Secure Authentication v5
OPC DA (DCOM)	Berbasis DCOM Windows yang rentan, port dinamis	Remote code execution via DCOM vulnerabilities	Migrasi ke OPC UA yang aman
Telnet ke RTU	Plaintext, tanpa enkripsi	Credential sniffing, session hijacking	Ganti dengan SSH
FTP ke PLC	Upload/download program tanpa autentikasi kuat	Upload program berbahaya ke PLC	Nonaktifkan FTP, gunakan SFTP atau metode aman

5.4Studi Kasus: Stuxnet (2010) — Senjata Siber Pertama

2010

STUXNET — Sabotase Program Nuklir Iran

Fasilitas Pengayaan Uranium Natanz, Iran

NATION-STATE

Stuxnet adalah malware paling canggih yang pernah ditemukan hingga saat itu — sebuah senjata siber yang dirancang khusus untuk menyabotase sentrifuge pengayaan uranium Iran tanpa terdeteksi selama berbulan-bulan.

TARGET SPESIFIK

PLC Siemens S7-315 dan S7-417 yang mengontrol sentrifuge Natanz. Hanya aktif jika menemukan konfigurasi spesifik.

VEKTOR INFEKSI

USB flashdisk (karena jaringan terisolasi/air-gapped). Menyebar via 4 zero-day Windows yang belum pernah digunakan sebelumnya.

METODE SABOTASE

Mengubah kecepatan sentrifuge (normal 1064 Hz → 1410 Hz atau 2 Hz) sambil memalsukan data di HMI sehingga operator melihat semuanya normal.

DAMPAK

~1.000 sentrifuge rusak. Program nuklir Iran mundur 2–5 tahun. Baru terdeteksi setelah lebih dari 1 tahun aktif.

🔍 INOVASI TEKNIS STUXNET
4 Zero-Day Exploits — Sebelumnya, malware canggih menggunakan 1–2 zero-day. Stuxnet menggunakan empat sekaligus.
Rootkit PLC — Pertama kalinya ada rootkit yang berjalan di PLC — menyembunyikan kode berbahaya dari software engineering (Siemens STEP 7)
Man-in-the-Middle pada HMI — Mencegat komunikasi antara HMI dan PLC, menampilkan data normal ke operator sementara proses sesungguhnya berbeda
Highly Targeted — Hanya mengaktifkan payload jika mendeteksi konfigurasi I/O modul Siemens yang sangat spesifik — tidak merusak PLC lain
Diduga dikembangkan bersama oleh intelijen AS (NSA) dan Israel (Unit 8200)

5.5Studi Kasus: BlackEnergy — Blackout Ukraina 2015 & 2016

2015

BlackEnergy / Sandworm — Ukraine Power Grid Attack

Perusahaan Distribusi Listrik, Ukraina Barat

NATION-STATE (RUSIA)

Pertama kalinya dalam sejarah, serangan siber berhasil menyebabkan blackout listrik nyata di wilayah berpenduduk. 225.000 pelanggan kehilangan listrik selama 1–6 jam di tengah musim dingin Ukraina.

FASE PERSIAPAN (6+ BULAN)

Email spear-phishing ke karyawan berisi dokumen Word dengan macro berbahaya → instalasi BlackEnergy malware → reconnaissance jaringan OT selama berbulan-bulan

HARI H — SERANGAN

Attacker login via VPN yang telah dicuri kredensialnya → akses ke SCADA HMI → membuka circuit breaker secara remote via HMI → 3 regional distribution centers terdampak

SERANGAN TAMBAHAN

KillDisk wiper dijalankan untuk menghapus workstation dan MBR → operator tidak bisa login untuk memulihkan sistem

SERANGAN 2016

Industroyer/Crashoverride — malware lebih canggih, berbicara langsung dengan protokol ICS (IEC 101/104, IEC 61850, OPC DA) tanpa SCADA HMI

TIMELINE SERANGAN BLACKENERGY 2015

T-6 BULAN:  Spear-phishing email → BlackEnergy terpasang di PC karyawan
T-3 BULAN:  Lateral movement dalam jaringan → akses ke OT network
T-1 BULAN:  Credential harvesting → VPN credentials dicuri
T-0 (23 Des 2015, ~15:35 EET):
             • Attacker remote login ke SCADA HMI via VPN
             • 30 substasi: circuit breaker dibuka secara remote
             • 225.000 pelanggan kehilangan listrik
             • Telepon customer service dibombardir (telephone DoS)
             • UPS dimatikan → control center gelap gulita
             • KillDisk wiper dijalankan → workstation rusak
T+1-6 JAM: Pemulihan MANUAL oleh teknisi di lapangan karena SCADA tidak bisa digunakan
PELAJARAN: Pemulihan manual harus selalu dimungkinkan dan dilatih!

5.6Studi Kasus: Triton/TRISIS (2017) — Serangan Safety System

2017

TRITON / TRISIS — Target Safety Instrumented System

Fasilitas Petrokimia, Arab Saudi (TASNEE)

NATION-STATE (DIDUGA)

Triton adalah malware pertama yang secara spesifik menarget Safety Instrumented System (SIS) — sistem yang seharusnya menjadi lapisan perlindungan terakhir sebelum bencana fisik. Ini adalah eskalasi ancaman yang sangat mengkhawatirkan.

TARGET SIS

Schneider Electric Triconex Safety Controller (SIS) — mengontrol Emergency Shutdown System (ESD) dan Fire & Gas (F&G) di kilang petrokimia

TUJUAN ATTACKER

Menonaktifkan SIS sehingga saat proses tidak aman terjadi, sistem safety tidak memicu emergency shutdown → potensi ledakan / kebakaran besar

BAGAIMANA TERDETEKSI

Bug dalam malware menyebabkan SIS controller masuk ke fail-safe mode dan mematikan proses secara darurat. Operator heran kenapa proses tiba-tiba berhenti.

DAMPAK SEBENARNYA

Tidak ada ledakan karena fail-safe bekerja. Namun menunjukkan niat untuk menyebabkan korban jiwa — sangat berbeda dari serangan SCADA sebelumnya.

⚠ MENGAPA TRITON SANGAT BERBAHAYA

Sebelum Triton, asumsinya adalah: meskipun SCADA dikompromisi, SIS masih akan melindungi dari bencana fisik. Triton menghancurkan asumsi tersebut. Sekarang bahkan safety system pun tidak bisa dipercaya jika tidak diamankan dengan benar.

Ini mengubah paradigma keamanan ICS secara fundamental: security dan safety tidak bisa dipisahkan — keduanya harus didesain bersama.

5.7Pelajaran dan Mitigasi dari Insiden Nyata

INSIDEN	ROOT CAUSE UTAMA	MITIGASI YANG DIPERLUKAN
Stuxnet	Air-gap ditembus via USB; zero-day exploit Windows; tidak ada integrity check firmware PLC	Kontrol USB ketat, patch Windows, firmware signing/verification, anomaly detection pada PLC behavior
BlackEnergy	Spear-phishing berhasil; VPN tanpa MFA; tidak ada OT network monitoring; tidak ada prosedur pemulihan manual	Email filtering, MFA untuk VPN, OT-specific IDS, latihan manual recovery rutin
Triton	SIS dapat diakses dari jaringan engineering; tidak ada integrity check kode SIS; asumsikan SIS selalu aman	Isolasi SIS secara fisik dan logis, monitoring komunikasi SIS, code integrity verification
Oldsmar	Remote access tanpa MFA; Windows 7 kadaluarsa; tidak ada user activity monitoring di HMI	MFA untuk semua remote access, update OS, user session recording, alarm pada perubahan setpoint besar
Colonial Pipeline	Ransomware di IT network; tidak ada segmentasi IT/OT; tidak ada prosedur isolasi cepat OT	IT/OT segmentasi ketat, backup offline, prosedur isolasi OT saat insiden IT, operasi manual capability

📋 PRINSIP PERTAHANAN BERDASARKAN INSIDEN NYATA
Assume Breach — Asumsikan attacker sudah ada di dalam jaringan. Desain pertahanan berlapis bahkan di dalam jaringan OT sendiri.
Physical Air-Gap Tidak Cukup — Stuxnet membuktikan USB bisa menembus air-gap. Kontrol fisik (USB policy, visitor access) sama pentingnya dengan kontrol siber.
Safety ≠ Security — Safety system yang diisolasi dari IT masih bisa diserang dari OT network. Keduanya harus diproteksi bersama.
Manual Recovery Wajib Dilatih — BlackEnergy menunjukkan SCADA bisa dinonaktifkan. Operator harus mampu mengoperasikan sistem secara manual.
Monitor, Monitor, Monitor — 280 hari attacker ada di dalam OT sebelum terdeteksi adalah tanda tidak adanya monitoring OT yang memadai.

✓Latihan Soal — Sesi 5

■ PERTANYAAN 1 / 5

1. Stuxnet berhasil menembus jaringan yang terisolasi (air-gapped) di fasilitas nuklir Natanz menggunakan metode...

A Serangan melalui koneksi internet yang ditemukan pada sistem

B USB flashdisk yang terinfeksi yang dibawa oleh karyawan atau kontraktor

C Serangan langsung ke antena WiFi fasilitas

D Supply chain attack pada hardware PLC saat dikirim dari pabrik

✓ Benar! Jaringan Natanz terisolasi (air-gapped) dari internet, sehingga Stuxnet menggunakan USB flashdisk sebagai vektor infeksi. Malware menyebar dari PC ke PC melalui USB, dan akhirnya mencapai engineering workstation yang terhubung ke PLC Siemens.

■ PERTANYAAN 2 / 5

2. Yang membuat serangan Triton/TRISIS sangat berbahaya dan berbeda dari serangan SCADA sebelumnya adalah...

A Triton menyerang PLC produksi sehingga menghentikan produksi

B Triton menarget Safety Instrumented System (SIS) dengan tujuan menonaktifkan pelindung terakhir, berpotensi menyebabkan ledakan dan korban jiwa

C Triton adalah ransomware pertama yang menyerang kilang minyak

D Triton menyerang melalui internet dengan zero-day exploit

✓ Benar! Triton adalah game-changer — sebelumnya, meskipun SCADA dikompromisi, Safety System (SIS) seperti ESD masih dipercaya untuk mencegah bencana fisik. Triton menyerang SIS itu sendiri untuk menonaktifkannya, sehingga jika proses berbahaya terjadi, tidak ada yang menghentikannya. Ini pertama kalinya ada malware yang secara eksplisit dirancang untuk menyebabkan korban jiwa fisik.

■ PERTANYAAN 3 / 5

3. Pada serangan BlackEnergy Ukraina 2015, attacker menggunakan vektor awal berupa...

A Serangan langsung ke port Modbus yang terbuka di internet

B Spear-phishing email dengan dokumen Word berisi macro berbahaya ke karyawan perusahaan listrik

C Fisik masuk ke control room dan merusak peralatan

D Serangan supply chain pada software billing perusahaan

✓ Benar! Serangan dimulai dengan spear-phishing email yang berisi dokumen Microsoft Word berisi macro berbahaya. Saat karyawan membuka dokumen dan mengaktifkan macro, BlackEnergy malware terinstal. Ini adalah tahap reconnaissance — attacker kemudian mengumpulkan credential VPN selama berbulan-bulan sebelum serangan utama pada 23 Desember 2015.

■ PERTANYAAN 4 / 5

4. Supply chain attack pada konteks ICS/SCADA paling tepat digambarkan sebagai...

A Serangan pada sistem manajemen inventori/gudang perusahaan

B Mengkompromisi vendor software/hardware terpercaya untuk menyisipkan malware ke dalam produk sebelum diterima oleh target

C Serangan DDoS terhadap jaringan distribusi konten (CDN)

D Pencurian data dari database pelanggan vendor

✓ Benar! Supply chain attack mengeksploitasi kepercayaan pada vendor. Karena update software atau firmware dari vendor yang sudah dipercaya biasanya tidak dicurigai, malware dapat masuk melewati pertahanan yang seharusnya memblokir software tidak dikenal. SolarWinds (2020) adalah contoh paling spektakuler — update software monitoring yang diinstal oleh 18.000+ organisasi ternyata mengandung backdoor.

■ PERTANYAAN 5 / 5

5. Kerentanan fundamental Modbus TCP yang memungkinkan attacker menulis perintah ke PLC tanpa hambatan adalah...

A Modbus menggunakan port yang mudah diblokir firewall

B Protokol tidak memiliki mekanisme autentikasi, enkripsi, maupun otorisasi — siapapun yang bisa mengirim paket ke port 502 dapat langsung mengeksekusi perintah

C Modbus terlalu lambat sehingga mudah di-intercept

D Modbus hanya mendukung enkripsi yang lemah (DES)

✓ Benar! Modbus dirancang pada 1979 untuk lingkungan serial yang terisolasi. Tidak ada konsep keamanan siber di masa itu. Hasilnya: tidak ada autentikasi (tidak perlu password), tidak ada enkripsi (semua data plaintext), dan tidak ada otorisasi (semua perintah diterima sama). Ini berarti siapapun yang bisa menjangkau port 502 dapat membaca semua data proses dan menulis perintah apapun ke PLC.

Ancaman dan Kerentananpada Sistem SCADA

Ancaman dan Kerentanan
pada Sistem SCADA