Cyberthreat.id – Pemerintah Amerika Serikat membuat pernyataan resmi terkait aktor di balik serangan siber rantai pasokan yang menargetkan perangkat lunak Orion milik perusahaan manajemen TI, SolarWinds.

Dalam pernyataan bersama, Selasa (5 Januari 2021), empat badan pemerintah, antara lain Badan Investigasi Federal (FBI), Badan Keamanan Siber dan Keamanan Infrastruktur (CISA), Direktur Intelijen Nasional (ODNI), dan Badan Keamanan Nasional (NSA) menuding bahwa pelaku serangan tersebut terkait dengan pemerintah Rusia.

Aktor peretas canggih (Advanced Persistent Threat/APT), menurut mereka, kemungkinan berasal dari Rusia. Peretasan tersebut disebut sebagai upaya pengumpulan data intelijen, demikian seperti dikutip dari ZDNet, portal berita cybersecurity, diakses Rabu (6 Januari).

Pernyataan resmi tersebut menguatkan laporan Washington Post pada Desember 2020 yang juga mengaitkan peretas SolarWinds ke APT29.

APT29 ialah kode yang dipakai oleh sejumlah industri keamanan siber untuk mengaitkan kelompok peretas yang diduga berkaitan dengan Dinas Intelijen Luar Negeri Rusia (SVR).

Namun, dalam pernyataan bersama itu, mereka tak secara jelas bahwa aktor tersebut adalah APT29 atau kelompok peretasan lain.

Pengumuman tersebut sekaligus bertolak belakang dengan pernyataan Presiden AS Donald Trump akhir Desember 2020 yang menyebutkan bahwa China mungkin di balik serangan ke SolarWinds. (Baca: Tak Terima Dituduh Terkait Peretasan SolarWinds, China: Trump Sebar Informasi Palsu)

Awal serangan

Pada 13 Desember 2020, SolarWinds mengumumkan bahwa peretas telah masuk ke sistem aplikasi Orion-nya.

Peretas canggih itu menaruh perangkat lunak jahat (malware) “pintu belakang” (backdoor) di pembaruan Orion yang dirilis antara Maret hingga Juni 2020.

Malware bernama “Sunburst” atau “Solorigate” tersebut kemudian digunakan untuk mendapatkan pijakan awal di jaringan internal perusahaan swasta dan lembaga pemerintah di seluruh dunia yang juga memakai Orion.

Firma keamanan siber FireEye menjadi perusahaan swasta pertama yang mengaku menjadi korban karena telah menginstal pembaruan Orion bermasalah itu.

Dua hari kemudian, SolarWinds mengeluarkan pernyataan dari jumlah 300.000 pelanggannya, hanya 33.000 yang menjadi pengguna Orion dan yang menginstal pembaruan aplikasi trojan itu sekitar 18.000 pelanggan (disebut trojan karena malware menyaru sebagai Orion).

Sejauh ini badan pemerintah AS yang mengalami korban, di antaranya Departemen Keuangan, Departemen Luar Negeri, Departemen Keamanan Dalam Negeri, Departemen Perdagangan, dan Departemen Energi.

Pada 17 Desember 2020, Microsoft mengakui sebagai pelanggan Orion dan menemukan malware di sistemnya. Namun, perusahaan mengklaim tak mendapati bahwa produk-produk digitalnya dipakai serangan lanjutan.

Hanya, pada 31 Desember, setelah investigasi internal, Microsoft menemukan, peretas telah berhasil mendapatkan sejumlah kecil akun internal perusahaan yang dipakai untuk mengakses repositori (penyimpanan) kode sumber perusahaan. (Baca: Hacker SolarWinds Akses Kode Sumber Microsoft)

Menyetop teori konspirasi

Para pejabat AS tersebut berharap dengan pernyataan resmi tersebut bisa menyudahi “teori-teori konspirasi yang terus-menerus beredar di dunia maya bahwa tujuan peretasan SolarWinds adalah untuk merusak mesin pemungutan suara dan melakukan penipuan pemilu.”

Dalam pernyataan bersama, mereka juga menjelaskan dampak dari peretasan.

Setelah masuk ke jaringan SolarWinds, menurut mereka, peretas menambahkan malware pertama (Sunburst/Solorigate) ke paket pembaruan Orion.

Tak hanya itu, peretas juga memilih untuk meningkatkan serangan dengan muatan malware tahap kedua yang disebut “Teardrop”.

Sementara malware Sunburst terlihat pada ribuan sistem, keempat lembaga tersebut mengatakan, bahwa kurang dari sepuluh lembaga pemerintah AS yang menjadi target malware tambahan (Teardrop).

Keempat badan tersebut merupakan anggota Cyber Unified Coordination Group (UCG), satuan tugas bersama yang dibentuk oleh Dewan Keamanan Nasional Gedung Putih untuk menyelidiki dan menangani dampak dari serangan SolarWinds.

Russsophobia

Rusia belum secara resmi menjawab pernyataan bersama tersebut. Namun, sebelumnya, Rusia telah membantah bahwa pemerintahannya terlibat dalam serangan tersebut.

“Rusia tidak terlibat dalam serangan semacam itu. Kami menyatakan ini secara resmi dan tegas,” ujar Juru Bicara Istana Presiden Rusia, Dmitry Peskov seperti dikutip dari TASS, kantor berita Rusia, Senin (21 Desember 2020).

“Setiap tuduhan keterlibatan Rusia sama sekali tidak berdasar, itu lebih seperti Russophobia yang gelap mata jika terjadi insiden apa pun,” ujar dia.

Menurut Peskov, pembahasan publik terkait serangan siber bertambah populer di AS, karena AS-lah yang menjadi korban serangan.

“Yang pasti, pembahasan tersebut tidak ada kaitannya dengan kami,” Pesko menegaskan.[]