
Ilustrasi perangkat lunak Orion buatan SolarWinds
Ilustrasi perangkat lunak Orion buatan SolarWinds
Cyberthreat.id - Serangan siber yang menimpa perusahaan penyedia perangkat lunak Orion Solarwinds merembet kemana-mana. Di Amerika Serikat, sejumlah lembaga pemerintah seperti Departemen Keuangan, Departemen Perdagangan, Departemen Keamanan Dalam Negeri, Departemen Luar Negeri, Departemen Energi, lembaga keamanan siber Amerika CISA, dan sejumlah negara bagian seperti Arizona telah mengonfirmasi terdampak oleh serangan itu.
Peretasan itu dilakukan dengan menyusup ke sistem layanan Orion, platform pengawasan kinerja TI yang mengelola dan mengoptimasi infrastruktur TI. Lalu, peretas merilis pembaruan aplikasi yang seolah berasal dari SolarWinds. Padahal, aplikasi baru ini adalah kerjaan peretas yang didalamnya disusupkan malware pintu belakang (backdoor). Saking rapinya penyusupan ini, perusahaan sekelas Microsoft dan perusahaan keamanan siber FireEye juga tertipu. Keduanya mengaku telah meginstal pembaruan perangkat lunak Orion kerjaan peretas itu.
Dampak dari peretasan ini luar biasa gawat. Itu memungkinkan peretas untuk mengambil kendali tingkat tinggi atas jaringan organisasi yang menggunakan perangkat lunak tersebut, termasuk mencuri datanya, memantau lalu lintas komunikasi, hingga merusak jaringan.
Selain di Amerika, SolarWinds mengatakan memiliki 300.000 pelanggan di seluruh dunia, termasuk perusahaan swasta, dan organisasi pemerintah. Dari jumlah itu, menurut SolarWinds, kurang lebih 18.000 institusi pelanggannya mungkin telah terdampak.
Di Inggris, lembaga perlindungan data pribadinya yaitu Information Commissioner's Office (ICO) pada 23 Desember 2020 telah meminta pengguna perangkat lunak Orion milik SolarWinds untuk melaporkan dalam waktu tiga hari jika menemukan adanya pelanggaran data. (Baca: Badan Perlindungan Data Inggris Desak Pelanggan Orion SolarWinds Segera Melapor)
Di Indonesia, Badan Siber dan Sandi Negara (BSSN) mengatakan lembaga itu tidak punya data lembaga mana saja yang memakai perangkat lunak Orion buatan SolarWinds.
“Untuk jumlah dan siapa saja kami tidak mempunyai datanya. Biasanya data seperti itu hanya di distributor dan tidak untuk di-share,” ujar Anton saat dihubungi Cyberthreat.id, Selasa (22 Desember 2020).
Namun begitu, pada 18 Desember 2020, BSSN telah mengeluarkan imbauan keamanan kerentanan pada Orion yang memungkinkan peretas menjalankan kode berbahaya secara jarak jauh. (PDF)
“Penyerang yang berhasil mengeksploitasi kerentanan tersebut dapat mengeksekusi kode berbahaya secara remote (jarak jauh), kemudian penyerang dapat menginstal program lain, melihat, mengubah, menghapus data atau membuat akun baru (bergantung pada privilege akses yang diperoleh penyerang),” tulis BSSN.
Di situs web partner.solarwinds.com disebutkan bahwa mitra SolarWinds di Indonesia, yaitu PT Virtus Technology Indonesia, PT Westcon Solutions, dan PT Ingram Micro Indonesia. Untuk mengonfirmasi apakah ada pelanggan Orion di Indonesia, Cyberthreat mengontak nomor telepon PT Virtus dan PT Westcon yang tertera di situs web tersebut, tapi tak ada jawaban. (Lihat: Terkait Peretasan Orion SolarWinds, Jubir BSSN: Kami Tak Miliki Data Pengguna di Indonesia)
Cyberthreat.id kemudian mencoba menelusurinya menggunakan mesin pencari. Hasilnya, ditemukan sejumlah instansi yang pernah melakukan tender lisensi dari Solarwinds. Lembaga negara itu diantaranya Badan Meteorologi, Klimatolofi dan Geofisika (BMKG) yang membuka tender pada 2019, Kementerian Keuangan, SKK Migas, Kemendikbud, hingga Otoritas Jasa Keuangan (OJK).
Pengumuman Lelang produk SolarWinds oleh SKK Migas
Lelang produk SolarWinds oleh BMKG pada 2019
Lelang produk SolarWInds oleh Kementerian Keuangan pada 2017
Cyberthreat.id telah mencoba menghubungi sejumlah pihak terkait, namun belum mendapat jawaban.
Dihubungi terpisah, Direktur Tata Kelola Aplikasi Informatika, Kementerian Komunikasi dan Informatika (Kominfo), Mariam F. Barata mengatakan semua kementerian dan lembaga membuat aplikasi masing-masing yang sesuai kebutuhannya.
"Kami tidak mencatatnya. Mereka punya kewajiban untuk mendaftar sebagai penyelenggara elektronik," ujarnya kepada Cyberthreat.id, Kamis (24 Desember 2020).
Aplikasi yang digunakan pemerintah, kata Mariam, bisa dibuat siapa saja. "Baik buat mandiri maupun pihak ketiga. Semua itu tergantung masing-masing K/L,"ujarnya.[]
Share: