Cyberthreat.id – Microsoft, raksasa perusahaan perangkat lunak AS, membuka sumber kueri CodeQL yang dipakainya untuk menyelidiki serangan rantai pasokan (supply chain attack) pada perangkat lunak Orion buatan pengembang SolarWinds.

Dengan dirilisnya sumber kueri CodeQL tersebut, perusahaan lain yang terkena pengaruh serangan Orion bisa melakukan analisis serupa.

"Aspek kunci dari serangan Solorigate adalah peretasan rantai pasokan yang memungkinkan penyerang memodifikasi binari dalam produk Orion SolarWinds," kata tim keamanan Microsoft, seperti dikutip dari ZDNet, diakses Minggu (28 Februari 2021).

Solorigate atau Sunburst adalah nama malware yang dipakai peretas diduga asal Rusia untuk serangan itu. Nama malware diberikan oleh FireEye dan Microsoft saat mendeteksi serangan yang juga dialami oleh mereka.

"Biner (coding) yang dimodifikasi ini didistribusikan melalui saluran pembaruan yang sebelumnya sah dan memungkinkan penyerang untuk melakukan aktivitas berbahaya dari jarak jauh, seperti pencurian kredensial, eskalasi hak istimewa, dan gerakan lateral, untuk mencuri informasi sensitif,” tutur Microsoft di blog perusahaan.

Microsoft menggunakan kueri CodeQL untuk menganalisis kode sumbernya dan mengonfirmasi tidak ada indikator peretasan (IoC) dan pola pengkodean yang terkait dengan malware Solorigate alias Sunburst dalam kode sumbernya.

---

Baca:

• Investigasi Kasus SolarWinds Kelar, Microsoft Akui Hacker Unduh Sebagian Kode Sumber Azure
• Presiden Microsoft Sebut Peretasan SolarWinds Tercanggih yang Pernah Terjadi di Dunia

---

Microsoft awal Februari ini mengakui peretas SolarWinds mengunduh beberapa kode sumber Azure, Exchange, dan Intune, tapi masih terbatas.

Microsoft memperingatkan bahwa temuan dari kueri perlu ditinjau ulang karena indikator "dapat muncul secara kebetulan dalam kode jinak."

"Selain itu, tidak ada jaminan bahwa aktor jahat dibatasi untuk fungsi atau gaya pengkodean yang sama dalam operasi lain, jadi kueri ini mungkin tidak mendeteksi implan/kode lain yang menyimpang secara signifikan dari taktik yang terlihat di implan Solorigate,” tulis Microsoft.

Seperti diketahui, pada 13 Desember, SolarWinds mengumumkan bahwa peretas telah masuk ke sistem aplikasi Orion-nya sebagai bagian dari model serangan rantai pasokan (supply chain attack). Peretas canggih yang diduga terkait Rusia itu menaruh malware pintu belakang (backdoor) pada pembaruan Orion yang dirilis antara Maret hingga Juni 2020.

Malware tersebut kemudian digunakan untuk mendapatkan pijakan awal di jaringan internal perusahaan swasta dan lembaga pemerintah di seluruh dunia yang menggunakan aplikasi Orion.

Firma keamanan siber FireEye menjadi perusahaan swasta pertama yang mengaku menjadi korban karena telah menginstal pembaruan Orion itu. Pada 17 Desember 2020, Microsoft juga mengakui sebagai pelanggan Orion yang dipakai di jaringan internalnya.

SolarWinds kemudian mengeluarkan pernyataan dari jumlah 300.000 pelanggannya, hanya 33.000 yang menjadi pengguna Orion dan yang menginstal pembaruan trojan itu sekitar 18.000 pelanggan.

Sejumlah badan pemerintah AS yang mengalami korban, di antaranya Departemen Keuangan, Departemen Luar Negeri, Departemen Keamanan Dalam Negeri, Departemen Perdagangan, dan Departemen Energi.[]