Poin Penting
1. Sandworm: Muncul sebagai Mata-mata Rusia
Mereka menamai kelompok ini Sandworm.
Tanda-tanda awal. Pada 2014, perusahaan keamanan siber iSight Partners menemukan kampanye peretasan canggih yang memanfaatkan celah zero-day di Microsoft Office, menyebarkan varian malware BlackEnergy. Umpan seperti daftar "teroris" di atas bendera Ukraina menunjukkan sasaran politik. Analisis server command-and-control yang tidak terlindungi mengungkap instruksi berbahasa Rusia.
Referensi Dune. Penyelidikan lebih lanjut oleh analis Drew Robinson menemukan kode kampanye seperti "arrakis02" dan "houseatreides94" dalam malware, menunjukkan obsesi unik para peretas terhadap epik fiksi ilmiah Frank Herbert, "Dune." Jejak khas ini memungkinkan peneliti menghubungkan serangan-serangan terpisah sejak 2009, yang menargetkan:
- Pemerintah dan media Ukraina
- Perusahaan energi Polandia
- Acara terkait NATO
- Akademisi Amerika yang fokus pada Rusia
Mengidentifikasi ancaman. Kampanye spionase canggih dan berlangsung lama ini, dengan jejak Rusia yang jelas dan fokus pada target geopolitik, membuat iSight menamai kelompok ini Sandworm. Awalnya dianggap sebagai mata-mata negara, indikasi serangan pada infrastruktur segera menunjukkan evolusi yang lebih berbahaya.
2. Eskalasi: Menyerang Infrastruktur Kritis
Operasi pengumpulan intelijen tidak meretas sistem kontrol industri.
Lebih dari sekadar spionase. Tak lama setelah penemuan iSight, peneliti Trend Micro, Kyle Wilhoit, menemukan hubungan antara infrastruktur Sandworm dan file yang dirancang untuk perangkat lunak sistem kontrol industri (ICS) Cimplicity milik General Electric. Ini menunjukkan Sandworm mulai menguji sistem yang mengendalikan mesin fisik, melampaui pencurian data menuju potensi sabotase.
Pengintaian untuk serangan. Temuan ini dikonfirmasi oleh ICS-CERT Departemen Keamanan Dalam Negeri AS, yang melaporkan Sandworm telah membuat alat untuk meretas perangkat lunak ICS dari GE, Siemens, dan Advantech/Broadwin. Intrusi ini, yang sudah terjadi sejak 2011, menargetkan infrastruktur kritis, termasuk utilitas Amerika.
- Sistem ICS mengendalikan jaringan listrik, pabrik air, pabrik manufaktur, dan lain-lain.
- "Air gap" seharusnya memisahkan sistem ini dari internet.
- Pengintaian Sandworm menunjukkan mereka mencoba menjembatani dunia digital dan fisik.
Era baru. Bagi analis seperti John Hultquist, ini mengubah pemahaman tentang Sandworm dari sekadar mata-mata siber menjadi pengintaian perang siber. Kelompok ini memetakan sistem kritis, berpotensi mempersiapkan serangan dengan konsekuensi fisik, ancaman yang jauh lebih nyata dibanding spionase tradisional.
3. Ukraina: Laboratorium Uji Perang Siber
Setelah bertahun-tahun mengintai, memata-matai, membangun kemampuan, dan melakukan pengintaian, Sandworm mengambil langkah yang belum pernah dilakukan peretas lain: Mereka menyebabkan pemadaman listrik nyata, mengganggu infrastruktur fisik ratusan ribu warga tanpa pandang bulu.
Pemadaman pertama. Pada malam Natal 2015, Sandworm menyerang perusahaan distribusi listrik di Ukraina barat, memutus listrik hampir seperempat juta orang selama beberapa jam. Serangan menggunakan malware BlackEnergy yang disebarkan lewat email phishing, menyebar melalui jaringan, dan akhirnya membuka pemutus sirkuit.
Serangan yang meningkat. Ini menjadi pemadaman listrik pertama yang diketahui disebabkan peretas dan eskalasi signifikan dalam perang hibrida Rusia terhadap Ukraina, yang meliputi:
- Invasi fisik dan konflik di timur
- Kampanye disinformasi
- Serangan siber pada pemerintah, media, dan sektor keuangan
Pemadaman kedua. Setahun kemudian, Desember 2016, Sandworm menyerang jaringan transmisi Ukraina, memadamkan sebagian Kiev. Serangan ini lebih canggih, menggunakan kredensial curian dan membajak alat akses jarak jauh untuk mengendalikan pemutus sirkuit, bahkan menonaktifkan sistem cadangan listrik. Ukraina menjadi medan uji taktik perang siber.
4. Industroyer/Crash Override: Senjata Pemadaman Otomatis
Ini adalah malware pertama yang menyebabkan gangguan pada infrastruktur sipil.
Mengungkap alat. Analisis forensik pemadaman Kiev 2016 oleh peneliti seperti Anton Cherepanov di ESET mengungkap muatan malware baru yang sangat canggih. Dinamai Industroyer (oleh ESET) atau Crash Override (oleh Dragos), kode ini dirancang untuk berinteraksi langsung dengan sistem kontrol industri.
Sabotase otomatis. Berbeda dengan serangan 2015 yang dikendalikan manual, Industroyer dapat secara otomatis:
- Menemukan dan memetakan peralatan industri
- Berkomunikasi menggunakan berbagai protokol ICS
- Mengirim perintah membuka pemutus sirkuit berulang kali
Ancaman yang dapat diperluas. Senjata modular dan otomatis ini memungkinkan Sandworm berpotensi menyebabkan pemadaman listrik di banyak target sekaligus dengan kecepatan mesin. Desainnya menunjukkan dibuat untuk digunakan ulang dan disesuaikan, tidak hanya di Ukraina tapi juga terhadap jaringan listrik dengan peralatan serupa di seluruh dunia, termasuk Amerika Serikat.
5. Shadow Brokers & EternalBlue: Alat NSA Bocor
Alih-alih ketakutan abstrak bahwa senjata siber AS akan menginspirasi musuh mengembangkan sendiri, arsenal peretasan Amerika justru jatuh secara tiba-tiba dan langsung ke tangan musuh.
Bocornya NSA. Pada Agustus 2016, kelompok misterius bernama "the Shadow Brokers" mengklaim telah meretas tim peretas elit NSA (Equation Group) dan mulai membocorkan alat-alat mereka. Bocoran ini termasuk eksploit zero-day yang kuat, terutama EternalBlue, yang menargetkan celah di Windows.
Dampak global. EternalBlue memungkinkan peretas mengendalikan penuh jutaan komputer Windows yang belum diperbarui di seluruh dunia. Microsoft merilis patch setelah diperingatkan NSA, tapi banyak sistem tetap rentan. Bocoran ini menempatkan kemampuan peretasan tingkat negara ke tangan siapa saja.
Pandemi WannaCry. Pada Mei 2017, wabah ransomware WannaCry memanfaatkan EternalBlue untuk menyebar cepat ke seluruh dunia, mengenkripsi ratusan ribu komputer, termasuk di rumah sakit dan perusahaan besar. Ini menunjukkan kerusakan besar yang bisa terjadi saat senjata siber negara bocor dan digunakan oleh pihak lain.
6. NotPetya: Bencana Siber Global
Dalam skala yang belum pernah terjadi sebelumnya—dan hingga saat ini—serangan siber tunggal mengejutkan mengguncang fondasi peradaban, dari farmasi hingga pengiriman barang dan pangan.
Pasien nol. Pada 27 Juni 2017, Sandworm meluncurkan NotPetya, memanfaatkan mekanisme pembaruan M.E.Doc, perangkat lunak akuntansi populer Ukraina. Serangan rantai pasokan ini menjadi pintu masuk sempurna ke ribuan jaringan.
Kekuatan destruktif. NotPetya menggabungkan Mimikatz (untuk mencuri kredensial) dan EternalBlue (untuk menyebar lewat celah) untuk merusak jaringan, menghapus data secara permanen dengan kedok ransomware. Penyebarannya tak terkendali melewati Ukraina, melumpuhkan perusahaan multinasional seperti Maersk, Merck, dan FedEx.
Kerugian besar. NotPetya menyebabkan kerugian lebih dari $10 miliar secara global, menjadikannya serangan siber paling mahal dalam sejarah. Dampaknya mengganggu pengiriman global, produksi farmasi, bahkan operasi rumah sakit, memperlihatkan betapa rapuh dan saling terhubungnya infrastruktur modern terhadap serangan digital tanpa pandang bulu.
7. Koneksi GRU: Identitas Sandworm Terungkap
GRU tampaknya menjadi dalang pemadaman listrik pertama yang disebabkan peretas, plot campur tangan dalam pemilihan presiden AS, dan senjata siber paling destruktif yang pernah dilepaskan.
Penetapan pelaku. Meski identitas Sandworm lama tak terungkap, bukti forensik dan laporan intelijen semakin mengarah ke pemerintah Rusia. Januari 2018, CIA dilaporkan menyimpulkan dengan "keyakinan tinggi" bahwa Pusat Teknologi Khusus Utama milik militer Rusia (GTsST), bagian dari GRU, bertanggung jawab atas NotPetya.
Operasi yang tumpang tindih. Penyelidikan lebih lanjut oleh FireEye dan dakwaan Departemen Kehakiman AS terhadap 12 peretas GRU pada Juli 2018 memperkuat hubungan ini. Bukti menunjukkan koneksi antara infrastruktur Sandworm dan serangan yang dikaitkan dengan Fancy Bear (juga GRU), termasuk:
- Serangan pada dewan pemilihan negara bagian AS
- Malware Olympic Destroyer
- Persona Guccifer 2.0 dan DCLeaks
Unit 74455. Dakwaan menyebut unit GRU tertentu, termasuk Unit 74455, yang terkait dengan infrastruktur campur tangan pemilu. Peneliti FireEye menduga unit ini adalah Sandworm, menunjukkan satu entitas GRU bertanggung jawab atas perang siber disruptif sekaligus operasi pengaruh politik.
8. Doktrin Rusia: Perang Hibrida & Konfrontasi Informasi
Kekuatan untuk menghancurkan sesuatu adalah kendali mutlak atasnya.
Garis yang kabur. Pemikiran militer Rusia, seperti yang diungkapkan Jenderal Valery Gerasimov, menekankan pengaburan batas antara perang dan damai serta penggunaan "aksi jarak jauh tanpa kontak" terhadap seluruh wilayah musuh, termasuk infrastruktur kritis. Doktrin ini, dikenal sebagai "konfrontasi informasi," mencakup propaganda dan serangan siber disruptif.
Peran GRU. Setelah sempat tersisih, GRU bertransformasi menjadi badan siber agresif Rusia, menerapkan pelajaran dari konflik sebelumnya seperti di Georgia. Budayanya, dipengaruhi oleh pasukan khusus spetsnaz, menghargai pengambilan risiko dan menganggap serangan pada infrastruktur sipil sebagai cara sah untuk melemahkan musuh.
Tujuan psikologis. Serangan Sandworm, dari pemadaman listrik hingga NotPetya, sejalan dengan doktrin ini. Tujuannya bukan semata keuntungan militer taktis, melainkan dampak psikologis: mendestabilisasi Ukraina, meruntuhkan kepercayaan pada pemerintahnya, dan menunjukkan kemampuan Rusia menyakiti jauh di belakang garis depan.
9. Biaya Tidak Bertindak: Diamnya Barat & Eskalasi
Tidak adanya respons yang tepat hampir seperti mengundang eskalasi lebih lanjut.
Respons terlambat. Meski ada peringatan berulang dan bukti jelas serangan Sandworm yang meningkat pada infrastruktur kritis Ukraina, termasuk dua pemadaman listrik, pemerintah AS dan Barat sebagian besar diam selama bertahun-tahun. Ini sebagian karena kesulitan atribusi, juga keengganan untuk meningkatkan ketegangan dengan Rusia dan pandangan bahwa Ukraina bukan prioritas NATO.
Pemicu NotPetya. Baru setelah NotPetya menyebabkan kerugian miliaran dolar secara global, AS dan sekutunya secara terbuka menuduh militer Rusia pada Februari 2018. Sanksi pun dijatuhkan, tapi kritik menyebut respons ini terlambat dan kurang memadai.
Memungkinkan eskalasi. Impunitas yang dirasakan ini memberi ruang bagi Sandworm dan peretas Rusia lain untuk terus mengembangkan dan menggunakan kemampuan berbahaya. Tidak adanya garis merah jelas terkait serangan pada infrastruktur sipil memberi sinyal bahwa tindakan semacam itu mungkin ditoleransi, berpotensi memicu perlombaan senjata siber global.
10. Medan Perang Baru: Jarak Bukan Pertahanan
Dalam fisika itu, NotPetya mengingatkan kita, jarak bukanlah pertahanan.
Kerentanan yang saling terhubung. NotPetya membuktikan bahwa di ranah digital, jarak geografis tidak memberikan perlindungan. Celah pada perangkat lunak akuntansi Ukraina bisa langsung melumpuhkan pengiriman global, produksi farmasi, dan rumah sakit ribuan mil jauhnya.
Fisika baru perang. Perang siber beroperasi di luar batas fisik dan intuisi tradisional. Serangan bisa berasal dari lokasi tak dikenal dan menyebar tanpa kendali, berdampak pada kehidupan sipil dalam skala yang belum pernah terjadi.
- Serangan rantai pasokan (seperti M.E.Doc) membuka pintu ke jaringan global.
- Alat bocor (seperti EternalBlue) memperluas jangkauan dan dampak.
- Kerusakan sampingan sering tak terduga dan meluas.
Setiap gerbang. Pandemi NotPetya menyoroti bahwa ketergantungan masyarakat modern pada sistem digital yang saling terhubung berarti kerentanan di mana saja bisa menjadi ancaman di mana-mana. "Barbar" bukan lagi di gerbang jauh, tapi mungkin sudah di dalam jaringan.
11. Masa Depan: Ketahanan dan Kebutuhan Norma
Dunia membutuhkan Konvensi Jenewa digital yang baru.
Pelajaran berharga. Kisah Sandworm, yang berpuncak pada NotPetya, menjadi peringatan keras tentang potensi serangan siber yang menghancurkan infrastruktur kritis. Ini menegaskan kebutuhan pertahanan yang lebih baik, sekaligus pemikiran ulang mendasar tentang keamanan.
Lebih dari pencegahan. Para ahli berpendapat mencegah setiap serangan adalah mustahil. Fokus harus bergeser ke ketahanan: kemampuan mendeteksi, merespons, dan pulih dari intrusi dengan cepat. Ini meliputi:
- Segmentasi jaringan yang lebih baik
- Cadangan data yang andal dan terputus dari jaringan utama
- Kemampuan kendali manual untuk sistem kritis
Seruan norma. Banyak yang mendorong perjanjian internasional, seperti "Konvensi Jenewa digital," untuk menetapkan aturan jelas yang melarang serangan pada infrastruktur sipil, rumah sakit, dan proses politik, bahkan saat damai. Namun, mencapai konsensus sulit karena negara enggan membatasi kemampuan ofensif mereka sendiri.
Ringkasan Ulasan
Sandworm dipuji sebagai buku yang menarik dan informatif mengenai perang siber Rusia, dengan fokus pada serangan terhadap Ukraina dan infrastruktur global. Para pembaca mengapresiasi kemampuan Greenberg dalam menjelaskan konsep teknis yang kompleks dengan cara yang mudah dipahami dan menarik. Buku ini digambarkan sebagai karya yang membuka mata sekaligus menakutkan, menyoroti kerentanan sistem modern terhadap serangan siber. Beberapa pembaca menganggap isi buku ini terkadang padat, namun secara keseluruhan sangat direkomendasikan. Kritikus mencatat adanya pernyataan yang cenderung partisan dan bias anti-Rusia. Buku ini dianggap bacaan penting untuk memahami ketegangan geopolitik saat ini serta ancaman keamanan siber.
Orang Juga Membaca
FAQ
1. What is Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers by Andy Greenberg about?
- Chronicles rise of Sandworm: The book investigates the emergence and operations of Sandworm, a Russian GRU-backed hacker group responsible for some of the most destructive cyberattacks in history.
- Focus on Ukraine as battleground: It details how Ukraine became the primary testing ground for Russian cyberwarfare, with attacks escalating from power grid blackouts to global ransomware outbreaks.
- Explores global cyberwarfare evolution: Greenberg traces the shift from early cyber espionage to modern, indiscriminate attacks that threaten global infrastructure and politics.
- Warns of new era: The narrative highlights the risks of unchecked cyberwar escalation and the potential for widespread disruption of civilian life worldwide.
2. Why should I read Sandworm by Andy Greenberg?
- Reveals hidden cyberwar threats: The book exposes the real-world consequences of state-sponsored hacking, showing how digital attacks can disrupt societies and economies.
- Timely and relevant: As cyberwarfare increasingly affects global politics, infrastructure, and daily life, understanding these threats is crucial for individuals and organizations.
- Engaging investigative journalism: Greenberg combines in-depth research, interviews, and on-the-ground reporting to create a compelling narrative that reads like a thriller.
- Offers practical lessons: The book provides insights into resilience, the importance of analog backups, and the need for international norms in cyberspace.
3. Who or what is Sandworm, and why are they significant in Andy Greenberg’s Sandworm?
- Russian GRU hacking unit: Sandworm is identified as Unit 74455 of the GRU, Russia’s military intelligence agency, specializing in cyber sabotage and election interference.
- Pioneers of cyberwarfare: They redefined cyberwar by moving from espionage to destructive attacks, including the first hacker-induced power grid blackouts.
- Global threat: Sandworm’s operations demonstrate the potential for state-sponsored hackers to target critical infrastructure worldwide, posing risks to the U.S., NATO, and beyond.
- Linked to major incidents: Their campaigns include the Ukrainian blackouts, NotPetya, Olympic Destroyer, and election interference in the U.S. and France.
4. What are the key cyberattacks detailed in Sandworm by Andy Greenberg, and what were their impacts?
- 2015 and 2016 Ukrainian blackouts: Sandworm caused the first known cyber-induced power outages, affecting hundreds of thousands and demonstrating the vulnerability of critical infrastructure.
- 2017 NotPetya attack: This destructive malware caused over $10 billion in global damages, crippling companies like Maersk and Merck, and spreading far beyond its initial Ukrainian targets.
- Olympic Destroyer and election hacks: Sandworm also targeted the 2018 Winter Olympics and interfered in U.S. and French elections, blending sabotage with political warfare.
- Escalation of cyberwarfare: These attacks marked a shift from espionage to large-scale, indiscriminate digital destruction.
5. How does Andy Greenberg explain the evolution of cyberwarfare in Sandworm?
- From espionage to sabotage: The book traces the progression from early cyber spying (like Moonlight Maze and Stuxnet) to attacks that cause real-world physical damage.
- Technological advancements: Innovations such as zero-day exploits, malware for industrial control systems, and automated attack tools have increased the scale and impact of cyberwarfare.
- Hybrid warfare context: Cyberattacks are integrated into Russia’s broader strategy, combining digital, military, and psychological operations to destabilize adversaries.
- Blurring war domains: The narrative shows how cyberwarfare extends conflict into civilian infrastructure and political processes.
6. What is the significance of the NotPetya attack in Sandworm by Andy Greenberg?
- Most destructive cyberattack: NotPetya caused unprecedented global economic damage, with losses exceeding $10 billion and affecting multinational corporations.
- Designed for destruction: Unlike typical ransomware, NotPetya’s encryption was irreversible, revealing its true purpose as sabotage rather than financial gain.
- Indiscriminate global impact: Though aimed at Ukraine, the malware spread worldwide, highlighting the uncontrollable nature of modern cyberweapons.
- Wake-up call for cybersecurity: The attack demonstrated the vulnerability of interconnected systems and the risks of state-sponsored cyber aggression.
7. What are the key malware and hacking tools discussed in Sandworm by Andy Greenberg, and why are they important?
- BlackEnergy: Evolved from a DDoS tool to a multi-functional malware used for both espionage and sabotage, notably in the 2015 Ukrainian blackout.
- KillDisk: A destructive tool used to wipe data and disable recovery, amplifying the impact of attacks.
- Industroyer/Crash Override: Modular malware capable of automating attacks on power grid equipment, representing a new level of cyber-physical sabotage.
- Mimikatz and EternalBlue: Tools for credential theft and rapid malware propagation, the latter being an NSA exploit leaked by the Shadow Brokers and used in NotPetya and WannaCry.
8. How did the Shadow Brokers leak of NSA tools affect the cyberwar landscape in Sandworm by Andy Greenberg?
- Exposed NSA cyberweapons: The leak made powerful U.S. hacking tools, like EternalBlue, available to adversaries and criminals worldwide.
- Enabled global ransomware outbreaks: EternalBlue was used in both WannaCry and NotPetya, causing massive disruption and economic loss.
- Escalated cyber arms race: The incident forced governments and companies to confront new threats and vulnerabilities, intensifying the global cyber conflict.
- Undermined U.S. cyber advantage: The leak diminished the effectiveness of U.S. cyber capabilities and highlighted the dangers of stockpiling digital weapons.
9. What does Sandworm by Andy Greenberg reveal about the U.S. government’s response to cyberwarfare threats?
- Delayed and muted reactions: The book describes the frustration of cybersecurity experts over the U.S. government’s slow and secretive response to Russian cyberattacks.
- Political considerations: Concerns about international relations and election interference controversies influenced the lack of public condemnation or decisive action.
- Missed opportunities for deterrence: The U.S. failed to establish clear norms or consequences for attacks on civilian infrastructure, emboldening adversaries like Sandworm.
- Need for stronger leadership: Greenberg suggests that more proactive and transparent responses are necessary to counter escalating cyber threats.
10. How does Sandworm by Andy Greenberg connect cyberwarfare to traditional military conflict and hybrid warfare?
- Integral to hybrid warfare: Cyberattacks are shown as a core component of Russia’s strategy, complementing military operations with digital disruption and influence campaigns.
- Blurring of war domains: The book illustrates how cyberwarfare extends the battlefield into civilian life, media, and political systems.
- Psychological and strategic impact: Attacks aim to sow confusion, undermine trust, and intimidate populations, amplifying their effect beyond physical damage.
- Redefining modern conflict: Greenberg argues that cyberwarfare challenges traditional notions of war and peace, requiring new frameworks for defense and response.
11. What lessons and advice about cybersecurity and resilience does Andy Greenberg offer in Sandworm?
- Resilience over prevention: The book argues that preventing all cyberattacks is impossible; focus should be on rapid recovery and minimizing cascading failures.
- Importance of analog backups: Maintaining manual or analog systems, as Ukraine did with its power grid, can help mitigate the impact of digital attacks.
- Call for international norms: Greenberg advocates for agreements like a “digital Geneva Convention” to protect civilians and infrastructure, though political challenges remain.
- Preparation and awareness: Societies must invest in cybersecurity, incident response, and public awareness to withstand future cyberwarfare.
12. What are the best quotes from Sandworm by Andy Greenberg, and what do they mean?
- “On the Internet, we are all Ukraine.” This quote underscores the universal vulnerability to cyberwarfare, as attacks in one country can quickly affect the entire world.
- “The physics of cyberspace are wholly different from every other war domain.” It highlights how cyberwarfare defies traditional concepts of distance and defense, making every networked society susceptible.
- “It’s not about turning out the lights. It’s about letting people know you can turn out the lights.” This reflects the psychological objective of cyberattacks: to intimidate and undermine confidence, not just cause physical damage.
- Quotes reinforce key themes: These statements encapsulate the book’s warnings about the global, psychological, and unpredictable nature of modern cyberwarfare.
