Cyberthreat.id – Perusahaan teknologi informasi juga penyedia perangkat lunak AS, SolarWinds, diretas oleh penyerang tingkat tinggi yang diduga mendapat sokongan negara (APT).

Kelompok peretas itu membobol jaringan SolarWinds, lalu memanfaatkannya untuk menyebarkan “pembaruan” perangkat lunaknya, Orion, kepada pelanggan baik perusahaan maupun jaringan pemerintah, padahal isinya perangkat lunak jahat (malware).

Demikian laporan FireEye, Senin (14 Desember 2020), perusahaan keamanan siber AS, mengonfirmasi serangan tersebut setelah muncul laporan sebelumnya terkait serangan dari Reuters, Washington Post, dan Wall Street Journal pada Minggu (13 Desember 2020).

Laporan ketiga media ini menyebut, peretas selanjutnya menargetkan Departemen Keuangan AS dan kantor Administrasi Telekomunikasi dan Informasi Nasional (NTIA) Departemen Perdaganagn AS, tulis ZDNet, portal berita cybersecurity, Senin (14 Desember).

FireEye mengatakan, serangan yang dialami SolarWinds juga merupakan cara peretas yang membobol jaringan FireEye sendiri pada pekan lalu. (Baca: FireEye, Perusahaan Cybersecurity Terkemuka di Dunia Dibobol Hacker)

Reuters menyebut bahwa insiden siber tersebut membuat Gedung Putih langsung menggelar rapat bersama Dewan Keamanan Nasional AS, pada Sabtu lalu.

Terkait Rusia?

Sejauh ini belum diketahui jelas kapan serangan itu melanggar SolarWinds dan menargetkan jaringan pemerintah AS

Sementara, sumber Washington Post menyebut bahwa serangan itu dilakukan oleh APT29, grup peretas yang oleh sejumlah peneliti keamanan siber dikenal merujuk ke peretas Rusia terkait Badan Intelijen Luar Negeri Rusia (SVR).

Namun, FireEye tidak mengonfirmasi atribusi APT29 dan memberi nama kode netral grup UNC2452.

Sementara, pada Minggu, Microsoft juga mengonfirmasi peretasan terhadap SolarWinds dan memberikan tindakan pencegahan kepada pelanggan yang mungkin terpengaruh.

Malware Sunburst dan Solorigate

Dalam siaran persnya, Minggu malam, SolarWinds mengakui telah terjadi serangan terhadap Orion, platform perangkat lunak untuk pemantauan dan manajemen terpusat, biasanya digunakan di jaringan besar untuk melacak semua sumber daya TI, seperti server, workstation, ponsel pintar, dan perangkat Internet of Things (IoT).

Perusahaan perangkat lunak tersebut mengatakan bahwa pembaruan Orion versi 2019.4 hingga 2020.2.1, yang dirilis antara Maret 2020 dan Juni 2020, telah tercemar malware.

FireEye menamai malware ini dengan “SUNBURST” dan menerbitkan laporan teknis bersama dengan pedoman deteksi di GitHub pada Senin.

Sementara, Microsoft menamai malware tersebut dengan “Solorigate” dan menambahkan pedoman deteksi ke antivirus Windows Defender-nya.

"Serangan ini tersebar luas, mempengaruhi organisasi publik dan swasta di seluruh dunia," kata FireEye.

“Korban sudah termasuk pemerintah, konsultan, teknologi, telekomunikasi dan entitas ekstraktif di Amerika Utara, Eropa, Asia dan Timur Tengah. Kami mengantisipasi ada korban tambahan di negara dan vertikal lain,” FireEye menambahkan.

SolarWinds mengatakan pihaknya berencana untuk merilis pembaruan baru (2020.2.1 HF 2) pada Selasa, 15 Desember, untuk "menggantikan komponen yang diretas dan memberikan beberapa peningkatan keamanan tambahan."[]