Cyberthreat.id – Tiga perusahaan teknologi terkemuka Amerika Serikat, yaitu Microsoft, FireEye, dan GoDaddy berkolaborasi untuk “membunuh” malware pintu belakang (backdoor) yang menginfeksi jaringan SolarWinds.

Mereka telah merebut dan menghapus domain yang memainkan peran sentral penyerangan ke SolarWinds, perusahaan perangkat lunak AS.

Domain tersebut beralamat avsvmcloud[.]com yang berfungsi sebagai server perintah dan kontrol (C&C) malware yang dijuluki “Sunburst” aka “Solorigate”, tulis ZDNet, portal berita cybersecurity, diakses Kamis (17 Desember 2020).

Domain server tersebut dialihkan ke IP 20.140.0.1 yang dimiliki Microsoft. Pengambilalihan tersebut memungkinkan mereka membuang lalu lintas berbahaya dan menganalisis korban lebih lanjut.

FireEye kepada BleepingComputer mengatakan, pengambilalihan tersebut untuk membuat tombol pembunuh (killswitch) Sunburst agar tak terus beroperasi di mesin yang terinfeksi.

"Killswitch ini akan mempengaruhi infeksi Sunburst baru dan sebelumnya dengan menonaktifkan penyebaran Sunburst yang masih menjadi sinyal ke avsvmcloud [.]com," kata FireEye.

---

Berita Terkait:

• Jaringan Perusahaan TI SolarWinds Diretas, Hacker Sebar Malware ke Lembaga Pemerintah AS
• Dituding Dalangi Serangan Siber Serius ke Lembaga Pemerintah AS, Begini Reaksi Rusia
• 18.000 Organisasi Diyakini Instal Orion SolarWinds yang Disusupi Malware

---

FireEye mengatakan, tombol pembunuh tersebut hanya akan menghentikan infeksi Sunburst asli. Perusahaan/organisasi yang sudah dibobol oleh peretas kemungkinan besar memiliki metode berbeda untuk mengakses jaringan korban.

"Namun, dalam gangguan yang telah dilihat FireEye, aktor ini bergerak cepat untuk membuat mekanisme tambahan yang terus-menerus untuk mengakses jaringan korban di luar backdoor Sunburst,” ujar FireEye.

“Tombol pembunuh ini tidak akan menghapus peretas yang telah membuat backdoor lain. Namun, tombol ini akan mempersulit aktor untuk memanfaatkan versi Sunburst yang didistribusikan awal," FireEyemenambahkan.

Menyerang aplikasi Orion

Seperti diketahui, SolarWinds pada Minggu (13 Desember) mengumumkan, bahwa peretas canggih telah menyerang jaringannya dan menyuntikkan malware tersebut ke sistem pembaruan perangkat lunak Orion.

Pembaruan Orion yang bermasalah itu memungkinkan peretas untuk menjatuhkan malware tambahan dan sangat tersembunyi di jaringan pelanggan SolarWinds.

Perusahaan mengatakan, pelanggannya yang telah menginstal pembaruan tersebut sekitar 18.000 pelanggan baik kalangan pemerintah maupun swasta.

Aplikasi Orion yang terinfeksi tersebut versi 2019.4 hingga 2020.2.1 yang dirilis pada Maret 2020 hingga Juni 2020. Setelah pembaruan itu diinstal, malware akan tidak aktif selama 12-14 hari, tapi kemudian melakukan ping  alias packet internet gropher (sebuah perintah respons antara client dan server yang dituju) ke subdomain avsvmcloud[.]com.

Menurut analisis perusahan keamanan siber, FireEye, domain C&C akan membalas tanggapan DNS yang berisi bidang CNAME dengan informasi pada domain lain, di mana Sunburst akan mendapatkan instruksi lebih lanjut dan membawa tambahan muatan untuk dieksekusi di jaringan perusahaan yang terinfeksi.

Sejauh ini, SolarWinds belum mengatakan bagaimana peretas menembus jaringannya sendiri; apakah penyusupan tersebut dilakukan via akun email (phishing attack) sehingga peretas mendapatkan akses ke infrastruktur server yang mendukung pembaruan aplikasi Orion.

Peretasan SolarWinds menjadi salah satu peretasan paling signifikan dalam beberapa tahun terakhir.

SolarWinds adalah kontraktor utama untuk pemerintah AS, dengan pelanggan tetap, seperti CISA, US Cyber ​​Command, Departemen Pertahanan, Biro Investigasi Federal, Departemen Keamanan Dalam Negeri, Urusan Veteran, dan banyak lainnya.[]