Cyberthreat.id –JetBrains, perusahaan pengembang perangkat lunak asal Republik Ceko, membantah terlibat dalam peretasan peruashaan manajemen jaringan teknologi informasi SolarWinds.

JetBrains membantah laporan yang dikeluarkan oleh New York Times dan Wall Street Journal bahwa perusahaannya sedang diselidiki aparat hukum.

Kedua media besar tersebut mengutip sumber anonim di pemerintahan AS, demikian seperti dikutip dari ZDNet, diakses Jumat (8 Januari 2021).

Menurut sumber tersebut, peretas yang diduga berasal dari Rusia membobol JetBrains dan kemudian baru meluncurkan serangan ke pelanggannya, yaitu SolarWinds.

Penyelidik AS meyakini bahwa peretas menargetkan produk JetBrains bernama TeamCity, server CI/ID (continous integration/continous development) yang dipakai untuk menyusun komponen ke dalam aplikasi perangkat lunak akhir—proses ini sering kali dikenla dengan sebutan “building”.

Namun, dalam unggahan di blog perusahaan, CEO JetBrains, Maxim Shafirov, mengatakan, perusahaannya tidak mengetahui bahwa sedang dalam penyelidikan terkait peretasan besar-besaran itu.

"SolarWinds adalah salah satu pelanggan kami dan menggunakan TeamCity yang digunakan sebagai bagian dari membangun perangkat lunak," kata Shafirov.

"SolarWinds belum menghubungi kami tentang pelanggaran tersebut," tutur dia.

Selain itu, “Kami belum dihubungi oleh pemerintah atau badan keamanan mana pun mengenai masalah ini, kami juga tidak mengetahui sedang dalam penyelidikan apa pun. Jika penyelidikan semacam itu dilakukan, pihak berwenang dapat mengandalkan kerja sama penuh kami."

Di satu sisi, Shafirov yang juga warga Rusia mengatakan, tak menutup kemungkinan bahwa produknya telah disalahgunakan dalam peretasan SolarWinds.

"Penting untuk ditekankan bahwa TeamCity adalah produk kompleks yang memerlukan konfigurasi yang tepat. Jika TeamCity, entah bagaimana, telah digunakan dalam proses ini, hal itu mungkin disebabkan oleh kesalahan konfigurasi, dan bukan kerentanan tertentu," kata Shafirov.

Selasa kemarin, pemerintah AS secara resmi menyalahkan Rusia dalam serangan siber rantai pasokan (supply chain attack) yang menargetkan perangkat lunak Orion milik SolarWinds.

Pernyataan itu disampaikan secara bersama oleh empat badan pemerintah, antara lain Badan Investigasi Federal (FBI), Badan Keamanan Siber dan Keamanan Infrastruktur (CISA), Direktur Intelijen Nasional (ODNI), dan Badan Keamanan Nasional (NSA).

Aktor peretas canggih (Advanced Persistent Threat/APT), menurut mereka, kemungkinan berasal dari Rusia. Peretasan tersebut disebut sebagai upaya pengumpulan data intelijen.

Pernyataan resmi tersebut menguatkan laporan Washington Post pada Desember 2020 yang juga mengaitkan peretas SolarWinds ke APT29.

APT29 ialah kode yang dipakai oleh sejumlah industri keamanan siber untuk mengaitkan kelompok peretas yang diduga berkaitan dengan Dinas Intelijen Luar Negeri Rusia (SVR).

Namun, dalam pernyataan bersama itu, mereka tak secara jelas bahwa aktor tersebut adalah APT29 atau kelompok peretasan lain.

Pengumuman tersebut sekaligus bertolak belakang dengan pernyataan Presiden AS Donald Trump akhir Desember 2020 yang menyebutkan bahwa China mungkin di balik serangan ke SolarWinds.

Awal serangan

Pada 13 Desember 2020, SolarWinds mengumumkan bahwa peretas telah masuk ke sistem aplikasi Orion-nya.

Peretas canggih itu menaruh perangkat lunak jahat (malware) “pintu belakang” (backdoor) di pembaruan Orion yang dirilis antara Maret hingga Juni 2020.

Malware bernama “Sunburst” atau “Solorigate” tersebut kemudian digunakan untuk mendapatkan pijakan awal di jaringan internal perusahaan swasta dan lembaga pemerintah di seluruh dunia yang juga memakai Orion.

Firma keamanan siber FireEye menjadi perusahaan swasta pertama yang mengaku menjadi korban karena telah menginstal pembaruan Orion bermasalah itu.

Dua hari kemudian, SolarWinds mengeluarkan pernyataan dari jumlah 300.000 pelanggannya, hanya 33.000 yang menjadi pengguna Orion dan yang menginstal pembaruan aplikasi trojan itu sekitar 18.000 pelanggan (disebut trojan karena malware menyaru sebagai Orion).

Sejauh ini badan pemerintah AS yang mengalami korban, di antaranya Departemen Keuangan, Departemen Luar Negeri, Departemen Keamanan Dalam Negeri, Departemen Perdagangan, dan Departemen Energi.

Pada 17 Desember 2020, Microsoft mengakui sebagai pelanggan Orion dan menemukan malware di sistemnya. Namun, perusahaan mengklaim tak mendapati bahwa produk-produk digitalnya dipakai serangan lanjutan.

Hanya, pada 31 Desember, setelah investigasi internal, Microsoft menemukan, peretas telah berhasil mendapatkan sejumlah kecil akun internal perusahaan yang dipakai untuk mengakses repositori (penyimpanan) kode sumber perusahaan.

Menyetop teori konspirasi

Para pejabat AS tersebut berharap dengan pernyataan resmi tersebut bisa menyudahi “teori-teori konspirasi yang terus-menerus beredar di dunia maya bahwa tujuan peretasan SolarWinds adalah untuk merusak mesin pemungutan suara dan melakukan penipuan pemilu.”

Dalam pernyataan bersama, mereka juga menjelaskan dampak dari peretasan.

Setelah masuk ke jaringan SolarWinds, menurut mereka, peretas menambahkan malware pertama (Sunburst/Solorigate) ke paket pembaruan Orion.

Tak hanya itu, peretas juga memilih untuk meningkatkan serangan dengan muatan malware tahap kedua yang disebut “Teardrop”.

Sementara malware Sunburst terlihat pada ribuan sistem, keempat lembaga tersebut mengatakan, bahwa kurang dari sepuluh lembaga pemerintah AS yang menjadi target malware tambahan (Teardrop).

Keempat badan tersebut merupakan anggota Cyber Unified Coordination Group (UCG), satuan tugas bersama yang dibentuk oleh Dewan Keamanan Nasional Gedung Putih untuk menyelidiki dan menangani dampak dari serangan SolarWinds.

Russsophobia

Rusia belum secara resmi menjawab pernyataan bersama tersebut. Namun, sebelumnya, Rusia telah membantah bahwa pemerintahannya terlibat dalam serangan tersebut.

“Rusia tidak terlibat dalam serangan semacam itu. Kami menyatakan ini secara resmi dan tegas,” ujar Juru Bicara Istana Presiden Rusia, Dmitry Peskov seperti dikutip dari TASS, kantor berita Rusia, Senin (21 Desember 2020).

“Setiap tuduhan keterlibatan Rusia sama sekali tidak berdasar, itu lebih seperti Russophobia yang gelap mata jika terjadi insiden apa pun,” ujar dia.

Menurut Peskov, pembahasan publik terkait serangan siber bertambah populer di AS, karena AS-lah yang menjadi korban serangan.

“Yang pasti, pembahasan tersebut tidak ada kaitannya dengan kami,” Pesko menegaskan.[]