Cyberthreat.id – FireEye, firma keamanan siber AS, menemukan perangkat lunak jahat (malware) pintu belakang (backdoor) baru di server perusahaan yang terpengaruh peretasan ke perusahaan manajemen TI, SolarWinds.

Malware tahap kedua yang canggih itu didesain di bawah radar perangkat lunak antivirus. FireEye menjulukinya “Sunshuttle”.

Seperti dikutip dari BleepingComputer, diakses Senin (8 Maret 2021), peneliti FireEye Lindsay Smith, Jonathan Leathery, dan Ben Read menyakini bahwa malware tersebut terkait dengan peretasan SolarWinds.

Peneliti mengamati aktivitas “Sunshuttle” pada komputer korban yang diretas oleh geng peretas UNC2452 (julukan dari FireEye) dan memiliki indikasi bahwa malware itu terkait dengan geng tersebut, “Tapi, kami belum sepenuhnya memverifikasi hubungan tersebut,” tulis FireEye.

“Sunshuttle” adalah malware berbasis bahasa pemrograman GO yang mampu menghindari deteksi keamanan. Saat ini, vektor infeksi yang digunakan untuk memasang pintu belakang belum diketahui.

"Pintu belakang ‘Sunshuttle’ baru adalah pintu belakang tahap kedua yang canggih, yang mendemonstrasikan teknik penghindaran deteksi langsung, melalui kemampuan lalu lintas campuran untuk komunikasi dengan CnC," tambah FireEye.

"Sunshuttle berfungsi sebagai pintu belakang tahap kedua dalam peretasan seperti itu untuk melakukan pengintaian jaringan bersama alat terkait ‘Sunburst’ lainnya."

Jika malware terssebut terbukti terkait dengan peretasan SolarWinds, maka “Sunshuttle” akan menjadi malware keempat yang ditemukan oleh para peneliti saat menyelidiki insiden serangan rantai pasokan (supply chain attacks) itu.

Selain FireEye, sejumlah firma keamanan siber juga menyelidiki kasus itu. CrowdStrike saat menyelidiki insiden itu kemudian memberi nama baru ke peretas dengan sebutan “StellarParticle”, sedangkan firma Palo Alto Unit 42 dengan nama “SolarStorm” dan Volexity dengan julukan “Dark Halo”.

CrowdStrike menemukan malware “Sunspot” yang digunakan untuk menginjeksi backdoors di platform Orion milik SolarWinds setelah dijatuhkan di lingkungan pengembangan software manajemen Orion.

Sebelumnya, FireEye pertama kali menemukan backdoor  bernama “Sunburst”. Temuan ini berbarengan dengan “Solorigate”, backdoor  versi pertama Microsoft yang juga sama-sama menyerang Orion.

Setelah “Sunburst”, FireEye kemudian menemukan malware kedua bernama “Teardrop”, dropper yang digunakan penyerang untuk menyebarkan suar Cobalt Strike yang disesuaikan.

Sementara itu, firma keamanan siber, Symantec menemukan “Raindrop”, malware yang mirip dengan “Teardrop” yang digunakan oleh peretas SolarWinds untuk mengirimkan suar Cobalt Strike selama pasca-eksploitasi.

Saat menyelidiki serangan rantai pasokan, Palo Alto Networks Unit 42 dan Microsoft menemukan “SuperNova”, jenis malware yang tidak terkait dengan UNC2452, tetapi juga dikirimkan menggunakan trojan Orion.

Seperti diketahui, pada 13 Desember, SolarWinds mengumumkan bahwa peretas telah masuk ke sistem aplikasi Orion-nya sebagai bagian dari model serangan rantai pasokan. Peretas canggih yang diduga terkait Rusia itu menaruh malware pintu belakang pada pembaruan Orion yang dirilis antara Maret hingga Juni 2020.

Malware tersebut kemudian digunakan untuk mendapatkan pijakan awal di jaringan internal perusahaan swasta dan lembaga pemerintah di seluruh dunia yang menggunakan Orion, aplikasi manajemen perangkat TI perusahaan.

Firma keamanan siber FireEye menjadi perusahaan swasta pertama yang mengaku menjadi korban karena telah menginstal pembaruan Orion itu. Pada 17 Desember 2020, Microsoft juga mengakui sebagai pelanggan Orion yang dipakai di jaringan internalnya.

SolarWinds kemudian mengeluarkan pernyataan dari jumlah 300.000 pelanggannya, hanya 33.000 yang menjadi pengguna Orion dan yang menginstal pembaruan trojan itu sekitar 18.000 pelanggan.

Sejumlah badan pemerintah AS yang mengalami korban, di antaranya Departemen Keuangan, Departemen Luar Negeri, Departemen Keamanan Dalam Negeri, Departemen Perdagangan, dan Departemen Energi.[]