Dijelaskan: Serangan siber besar-besaran di AS, menggunakan seperangkat alat baru

Salah satu serangan siber terbesar yang menargetkan lembaga pemerintah AS dan perusahaan swasta, 'SolarWinds hack' dipandang sebagai upaya global yang mungkin dilakukan. Bagaimana hal itu dilakukan, dan jenis data apa yang telah disusupi? Mengapa pejabat pemerintah AS dan politisi bernama Rusia?

Target serangan siber adalah Orion, perangkat lunak yang dipasok oleh perusahaan SolarWinds. (Foto Reuters)

'SolarWinds hack', serangan siber yang baru-baru ini ditemukan di Amerika Serikat, telah muncul sebagai salah satu dari terbesar yang pernah ada ditargetkan terhadap pemerintah AS, lembaga dan beberapa perusahaan swasta lainnya. Bahkan, ini kemungkinan merupakan serangan siber global.

Ini pertama kali ditemukan oleh perusahaan keamanan siber AS FireEye, dan sejak itu lebih banyak perkembangan terus terungkap setiap hari. Skala serangan cyber masih belum diketahui, meskipun Departemen Keuangan AS, Departemen Keamanan Dalam Negeri, Departemen Perdagangan, bagian dari Pentagon semuanya diyakini telah terkena dampaknya.

dalam sebuah bagian opini ditulis untuk The New York Times , Thomas P Bossert, yang merupakan Penasihat Keamanan Dalam Negeri untuk Presiden Donald Trump, telah menyebut Rusia atas serangan itu. Dia menulis bukti di titik serangan SolarWinds ke badan intelijen Rusia yang dikenal sebagai SVR, yang perdagangannya termasuk yang paling maju di dunia. Kremlin telah membantah keterlibatannya.

Jadi, apa itu 'retas SolarWinds'?

Berita tentang serangan siber secara teknis pertama kali tersiar pada 8 Desember, ketika FireEye mengeluarkan blog yang mendeteksi serangan pada sistemnya. Perusahaan membantu dengan manajemen keamanan dari beberapa perusahaan swasta besar dan lembaga pemerintah federal.

CEO FireEye Kevin Mandia menulis dalam posting blog yang mengatakan bahwa perusahaan itu diserang oleh aktor ancaman yang sangat canggih, menyebutnya sebagai serangan yang disponsori negara, meskipun tidak menyebutkan nama Rusia. Dikatakan serangan itu dilakukan oleh negara dengan kemampuan ofensif tingkat atas, dan penyerang terutama mencari informasi yang berkaitan dengan pelanggan pemerintah tertentu. Dikatakan juga metode yang digunakan oleh para penyerang adalah hal baru.

Kemudian pada 13 Desember FireEye mengatakan serangan siber, yang diberi nama Campaign UNC2452, tidak terbatas pada perusahaan tetapi telah menargetkan berbagai organisasi publik dan swasta di seluruh dunia. Kampanye tersebut kemungkinan dimulai pada Maret 2020 dan telah berlangsung selama berbulan-bulan, kata pos tersebut. Lebih buruk lagi, tingkat data yang dicuri atau disusupi masih belum diketahui, mengingat skala serangan masih ditemukan. Setelah sistem dikompromikan, pergerakan lateral dan pencurian data terjadi.

Bagaimana begitu banyak lembaga dan perusahaan pemerintah AS diserang?

Ini disebut serangan 'Supply Chain': Alih-alih langsung menyerang jaringan pemerintah federal atau organisasi swasta, para peretas menargetkan vendor pihak ketiga, yang memasok perangkat lunak kepada mereka. Dalam hal ini, targetnya adalah perangkat lunak manajemen TI yang disebut Orion, yang dipasok oleh perusahaan SolarWinds yang berbasis di Texas.

Orion telah menjadi perangkat lunak dominan dari SolarWinds dengan klien, yang mencakup lebih dari 33.000 perusahaan. SolarWinds mengatakan 18.000 kliennya telah terkena dampak. Kebetulan, perusahaan telah menghapus daftar klien dari situs resminya.

Menurut halaman, yang juga telah dihapus dari Arsip Web Google, daftar tersebut mencakup 425 perusahaan di Fortune 500, 10 operator telekomunikasi teratas di AS. Sebuah laporan New York Times mengatakan bagian dari Pentagon, Pusat Pengendalian dan Pencegahan Penyakit, Departemen Luar Negeri, Departemen Kehakiman, dan lainnya, semuanya terkena dampak.

Microsoft mengkonfirmasi telah menemukan bukti malware pada sistem mereka, meskipun menambahkan tidak ada bukti akses ke layanan produksi atau data pelanggan, atau bahwa sistemnya digunakan untuk menyerang orang lain. Presiden Microsoft Brad Smith mengatakan bahwa perusahaan telah mulai memberi tahu lebih dari 40 pelanggan bahwa penyerang menargetkan lebih tepat dan berkompromi.

Sebuah laporan Reuters mengatakan bahwa bahkan email yang dikirim oleh pejabat Departemen Keamanan Dalam Negeri dipantau oleh para peretas.

Bagaimana mereka mendapatkan akses?

Menurut FireEye, para peretas memperoleh akses ke korban melalui pembaruan trojan ke perangkat lunak pemantauan dan manajemen TI Orion SolarWinds. Pada dasarnya, pembaruan perangkat lunak dieksploitasi untuk menginstal malware 'Sunburst' ke Orion, yang kemudian diinstal oleh lebih dari 17.000 pelanggan.

FireEye mengatakan penyerang mengandalkan beberapa teknik untuk menghindari terdeteksi dan mengaburkan aktivitas mereka. Malware mampu mengakses file sistem. Apa yang menguntungkan malware adalah ia dapat berbaur dengan aktivitas SolarWinds yang sah, menurut FireEye.

Setelah terinstal, malware memberikan akses pintu belakang ke peretas ke sistem dan jaringan pelanggan SolarWinds. Lebih penting lagi, malware itu juga mampu menggagalkan alat seperti anti virus yang bisa mendeteksinya.

Di mana Rusia masuk?

Dalam artikel opini NYT-nya, Bossert menyebut Rusia dan agensinya SVR, yang memiliki kemampuan untuk mengeksekusi serangan dengan kecerdikan dan skala seperti itu.

Microsoft mencatat dalam blognya bahwa aspek serangan ini menciptakan kerentanan rantai pasokan yang hampir penting secara global, menjangkau banyak ibu kota nasional utama di luar Rusia. Lebih lanjut ditambahkan bahwa serangan canggih dari Rusia telah menjadi hal biasa.

FireEye, bagaimanapun, belum menyebut Rusia sebagai pihak yang bertanggung jawab dan mengatakan itu adalah penyelidikan yang sedang berlangsung dengan FBI, Microsoft, dan mitra kunci lainnya yang tidak disebutkan namanya.

Apa yang dikatakan SolarWinds dan pemerintah AS tentang peretasan itu?

Saat ini, SolarWinds merekomendasikan agar semua pelanggan segera memperbarui platform Orion yang ada, yang memiliki patch untuk malware ini. Jika aktivitas penyerang ditemukan di suatu lingkungan, kami merekomendasikan untuk melakukan penyelidikan komprehensif dan merancang dan melaksanakan strategi remediasi yang didorong oleh temuan investigasi dan perincian lingkungan yang terkena dampak, katanya.

Mereka yang tidak dapat memperbarui diminta untuk mengisolasi server SolarWinds dan itu harus mencakup pemblokiran semua jalan keluar Internet dari server SolarWinds. Saran minimal adalah mengubah kata sandi untuk akun yang memiliki akses ke server / infrastruktur SolarWinds.

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) telah mengeluarkan Arahan Darurat 21-01, meminta semua lembaga sipil federal untuk meninjau jaringan mereka untuk indikator kompromi. Ia telah meminta mereka untuk segera memutuskan atau mematikan produk SolarWinds Orion.

FBI, CISA dan kantor Direktur Intelijen Nasional mengeluarkan pernyataan bersama, dan mengumumkan apa yang disebut 'Kelompok Koordinasi Terpadu Cyber ​​(UCG) untuk mengoordinasikan tanggapan pemerintah terhadap krisis. Pernyataan itu menyebut ini sebagai kampanye keamanan siber yang signifikan dan berkelanjutan.

Gedung Putih dan Presiden Donald Trump bungkam. Senator Mitt Romney telah menyimpulkannya dengan baik dalam komentarnya kepada jurnalis Olivier Knox dari radio SiriusXM, di mana ia membandingkan serangan ini dengan serangan yang setara dengan pembom Rusia yang terbang tanpa terdeteksi di seluruh negeri yang mengungkap kelemahan perang cyber AS. Dia mengatakan bahwa keheningan dan kelambanan dari Gedung Putih tidak bisa dimaafkan.

Senator Richard Blumenthal, seorang Demokrat, mentweet: Serangan dunia maya Rusia membuat saya sangat khawatir, bahkan benar-benar takut.

Presiden terpilih Joe Biden mengatakan dalam sebuah pernyataan: Pertahanan yang baik tidak cukup; Kita perlu mengganggu dan mencegah musuh kita melakukan serangan siber yang signifikan sejak awal.

Bagikan Dengan Temanmu: