Cyberthreat.id – Tim keamanan Microsoft pada 18 Februari lalu secara resmi telah menyelesiakan investigasi terkait peretasan yang menyangkut perangkat lunak Orion SolarWinds.

Hasil penyelidikan, mereka tidak menemukan bukti bahwa peretas menyalahgunakan sistem internal atau produk resmi Microsoft lain untuk menyerang pengguna akhir dan pelanggan bisnis, seperti dikutip dari ZDNet, diakses Senin (22 Februari 2021).

Perusahaan perangkat lunak Windows tersebut mulai menyelidikan kasus SolarWinds sejak medio Desember 2020. Saat itu ditemukan adanya pelanggaran pada pembaruan perangkat lunak manajemen TI Orion, produk yang juga dipakai oleh Microsoft.

Pada 31 Desember, Microsoft menyatakan bahwa peretas menggunakan akses Orion rentan tersebut untuk menyerang jaringan internal perusahan. Ditemukanlah, bahwa peretas juga mengakses kode sumber dari beberapa proyek internal Microsoft. (Baca: Hacker SolarWinds Akses Kode Sumber Microsoft)

Microsoft mengatakan setelah memutus akses penyusup, peretas terus mencoba mengakses akun Microsoft sepanjang Desember dan bahkan hingga awal Januari 2021.

Namun, "Tidak ada akses ke sebagian besar kode sumber," kata tim keamanan perusahaan. Sebaliknya, penyusup diklaim hanya melihat "beberapa file individual [...] sebagai hasil dari pencarian repositori.

Microsoft mengatakan bahwa berdasarkan “permintaan” pencarian yang dilakukan peretas di repositori kode mereka, mereka tampaknya fokus untuk menemukan rahasia (alias token akses) yang dapat digunakan untuk memperluas akses mereka ke sistem Microsoft lain

Namun, kata tim keamanan, mereka gagal mendapatkannya karena selama ini praktik pengkodean internal melarang setiap pengembang menyimpan rahasia di dalam kode sumber.

Beberapa kode sumber juga diunduh

Selain melihat file, para peretas juga berhasil mengunduh beberapa kode. Namun, Microsoft mengatakan datanya tidak ekstensif dan penyusup hanya mengunduh kode sumber dari beberapa komponen yang terkait dengan beberapa produk berbasis cloud-nya.

Menurut Microsoft, repositori ini berisi kode untuk:

• sebagian kecil komponen Azure (subset layanan, keamanan, identitas)
• sebagian kecil komponen Intune
• sebagian kecil komponen Exchange

Secara keseluruhan, insiden tersebut tampaknya tidak merusak produk Microsoft atau menyebabkan peretas mendapatkan akses ekstensif ke data pengguna.

Pada 13 Desember, SolarWinds mengumumkan bahwa peretas telah masuk ke sistem aplikasi Orion-nya. Peretas canggih yang diduga terkait Rusia itu menaruh malware pintu belakang (backdoor) pada pembaruan Orion yang dirilis antara Maret hingga Juni 2020.

Malware ini kemudian digunakan untuk mendapatkan pijakan awal di jaringan internal perusahaan swasta dan lembaga pemerintah di seluruh dunia.

Firma keamanan siber FireEye menjadi perusahaan swasta pertama yang mengaku menjadi korban karena telah menginstal pembaruan Orion itu. Pada 17 Desember 2020, Microsoft mengakui sebagai pelanggan Orion untuk dipakai di jaringan internalnya.

SolarWinds kemudian mengeluarkan pernyataan dari jumlah 300.000 pelanggannya, hanya 33.000 yang menjadi pengguna Orion dan yang menginstal pembaruan trojan itu sekitar 18.000 pelanggan.

Sejauh ini badan pemerintah AS yang mengalami korban, di antaranya Departemen Keuangan, Departemen Luar Negeri, Departemen Keamanan Dalam Negeri, Departemen Perdagangan, dan Departemen Energi.[]