Dijelaskan: Bagaimana serangan siber SolarWinds menghantam Microsoft

Microsoft belum mengkonfirmasi kode sumber apa yang diakses oleh para peretas. Namun, fakta bahwa peretas masuk begitu dalam cukup mengkhawatirkan, mengingat kode sumber sangat penting untuk cara kerja perangkat lunak apa pun.

Target serangan siber adalah Orion, perangkat lunak yang dipasok oleh perusahaan SolarWinds. (Foto Reuters)

Sebagai bagian dari penyelidikan yang sedang berlangsung dalam serangan cyber SolarWinds, Microsoft telah mengungkapkan bahwa kode sumber internal kemungkinan diakses oleh para penyerang. Perusahaan sebelumnya telah mengkonfirmasi bahwa itu juga dikompromikan adalah apa yang dilihat sebagai salah satu serangan siber terbesar di dunia, yang terutama menargetkan pemerintah Amerika Serikat (AS) dan beberapa organisasi swasta lainnya. Serangan siber SolarWinds pertama kali terungkap pada bulan Desember oleh perusahaan keamanan siber FireEye.

Kami melihat apa yang diungkapkan oleh penyelidikan terbaru Microsoft, dan apa artinya.

Apa yang diungkapkan Microsoft dalam penyelidikan barunya?

Menurut posting blog resmi oleh perusahaan, tim peneliti keamanan internal Microsoft telah menemukan bukti bahwa penyerang mengakses beberapa kode sumber internal di sistem perusahaan. 'Insiden Solorigate' seperti yang disebut Microsoft di blog, menunjukkan ada upaya kegiatan di luar keberadaan kode SolarWinds yang berbahaya di lingkungan kita.

Kami mendeteksi aktivitas yang tidak biasa dengan sejumlah kecil akun internal dan setelah ditinjau, kami menemukan satu akun telah digunakan untuk melihat kode sumber di sejumlah repositori kode sumber. Menurut posting tersebut, akun tersebut tidak memiliki izin yang diperlukan untuk mengakses kode, memodifikasinya, juga tidak diizinkan untuk mengakses sistem rekayasa.

Perusahaan mengatakan sejauh ini penyelidikan mengkonfirmasi tidak ada perubahan yang dilakukan pada kode sumber ini. Akun-akun ini diselidiki dan diperbaiki, tambah perusahaan.

Apa artinya ini?

Microsoft belum mengkonfirmasi kode sumber apa yang diakses oleh para peretas. Namun, fakta bahwa peretas masuk begitu dalam cukup mengkhawatirkan, mengingat kode sumber sangat penting untuk cara kerja perangkat lunak apa pun. Kode sumber adalah kunci bagaimana produk perangkat lunak dibangun dan jika dikompromikan dapat membiarkannya terbuka terhadap risiko baru yang tidak diketahui. Peretas dapat menggunakan informasi ini untuk mengeksploitasi potensi kelemahan dalam program.

Microsoft mengatakan aktivitas ini tidak membahayakan keamanan layanan kami atau data pelanggan apa pun, tetapi menambahkan bahwa mereka yakin serangan ini dilakukan oleh aktor negara-bangsa yang sangat canggih. Perusahaan mengatakan bahwa tidak ada bukti bahwa sistemnya digunakan untuk menyerang orang lain.

Apa lagi yang diungkapkan Microsoft?

Microsoft mengatakan mereka mengandalkan praktik terbaik pengembangan perangkat lunak open source dan budaya seperti open source untuk pengembangan perangkat lunak. Biasanya, kode sumber dapat dilihat oleh tim dalam Microsoft, menurut blog. Perusahaan juga mencatat bahwa model ancamannya mengasumsikan bahwa penyerang memiliki pengetahuan tentang kode sumber. Microsoft meremehkan risiko dengan mengatakan hanya melihat kode sumber tidak akan menyebabkan peningkatan risiko baru.

Microsoft mengatakan memiliki banyak perlindungan pertahanan untuk menghentikan penyerang jika dan ketika mereka mendapatkan akses. Dikatakan ada bukti bahwa aktivitas para peretas digagalkan oleh perlindungan perusahaan yang ada.

Raksasa teknologi itu mengatakan akan memberikan pembaruan tambahan jika mendapat informasi baru.

Apa lagi yang terungkap dalam peretasan SolarWinds ini?

Masalah dengan serangan siber ini adalah bahwa hal itu telah berlangsung begitu lama sehingga skala penuhnya tetap tidak diketahui. Faktanya, serangan itu mungkin dimulai lebih awal dari musim semi lalu seperti yang diyakini sebelumnya. Senator Demokrat Mark Warner dari Virginia, yang menjabat sebagai Wakil Ketua Komite Intelijen Senat, mengatakan kepada Reuters dalam sebuah wawancara bahwa serangan itu kemungkinan dimulai jauh lebih awal. Dia juga mengatakan bahwa saat ini pemerintah AS tidak memiliki bukti kuat bahwa rahasia rahasia pemerintah telah dibobol oleh para peretas, menurut laporan Reuters.

Skala serangan juga masih belum diketahui, menurut sebagian besar laporan. Sementara itu, FireEye, yang menemukan serangan tersebut, telah mengungkapkan detail baru tentang malware Sunburst. Malware tersebut mengeksploitasi perangkat lunak SolarWinds Orion, yang digunakan oleh ribuan perusahaan, termasuk beberapa lembaga pemerintah AS.

Menurut FireEye, Sunburst — versi berbahaya dari plugin SolarWinds Orion yang ditandatangani secara digital — berisi pintu belakang yang berkomunikasi melalui HTTP ke server pihak ketiga. Tampaknya plugin tetap tidak aktif hingga dua minggu, setelah itu mulai menjalankan perintah dan melakukan tugas-tugas seperti transfer file, mengeksekusi file, membuat profil sistem, mem-boot ulang sistem, dan menonaktifkan layanan sistem.

Tampaknya juga malware melakukan banyak pemeriksaan untuk memastikan tidak ada alat analisis, menurut FireEye. Pendekatan hati-hati inilah yang membantu malware menghindari deteksi oleh perangkat lunak anti-virus dan penyelidik forensik selama tujuh bulan setelah diperkenalkan ke rantai pasokan SolarWinds Orion, menurut perusahaan keamanan siber.

Bagikan Dengan Temanmu: