SolarWinds | Foto: Shutterstock via itpro.co.uk
SolarWinds | Foto: Shutterstock via itpro.co.uk
Cyberthreat.id – Perusahaan keamanan siber asal Rusia, Kaspersky, mengatakan, perangkat lunak jahat (malware) “pintu belakang” (backdoor) yang dipakai untuk meretas Orion, aplikasi manajemen TI milik SolarWinds, mirip dengan malware yang dipakai grup peretasan yang dikenal dengan “Turla”.
Menurut otoritas Estonia yang pernah menyelidiki sepak terjang “Turla”, grup ini diduga beroperasi atas nama badan intelijen Rusia, Federal'naya Sluzhba Bezopasnosti (FSB), demikian seperti dikutip dari Reuters, Senin (11 Januari 2021).
Temuan tersebut, tulis Reuters, bukti publik pertama yang mendukung pernyataan AS sebelumnya bahwa dalang peretasan besar-besaran perangkat lunak SolarWinds adalah Rusia.
Media Desember 2020, SolarWinds mengumumkan bahwa jaringan internalnya telah diretas oleh peretas canggih. Mereka berhasil menanam malware “Sunburst” atau “Solorigate” di pembaruan Orion yang dirilis antara Maret hingga Juni 2020.
Berita Terkait:
SolarWinds mengatakan dari 300.000 pelanggan Orion, hanya 33.000 pelanggan yang memakai Orion. Dari jumlah itu, 18.000 diduga telah menginstal pembaruan Orion berbahaya tersebut.
Firma keamanan siber FireEye dan Microsoft adalah perusahaan swasta yang paling awal menyatakan bahwa sistemnya ikut terkena imbas peretasan Orion. Sementara, lembaga pemerintah AS yang terkena dampak, di antaranya Departemen Keuangan, Departemen Perdagangan, Departemen Energi, Departemen Luar Negeri, dan Departemen Keamanan Dalam Negeri.
Reuters menyebut bahwa serangan siber tersebut termasuk salah satu “operasi dunia maya paling ambisius yang pernah terungkap”.
Baca:
Awal Januari lalu, pemerintah AS secara resmi menyalahkan Rusia sebagai aktor penyerangan tersebut.
Namun, Rusia berkali-kali membantah bahwa mereka tak terlibat apa pun. Sementara, FSB sejauh ini belum memberikan komentar atas temuan Kaspersky.
Tiga kesamaan
Kepala Riset dan Analisis Global di Kaspersky, Costin Raiu, mengatakan ada tiga kesamaan yang jelas antara backdoor SolarWinds dan alat peretasan yang disebut dengan “Kazuar” yang sering dipakai Turla.
Kesamaan tersebut, seperti cara kedua malware berusaha menyamarkan fungsinya dari pendeteksi antivirus/antimalware, bagaimana peretas mengidentifikasi korban, dan formula yang dipakai untuk menghitung periode ketika malware tidak aktif dalam upaya menghindari radar deteksi keamanan di mesin korban.
Baca:
Menurut Raiu, jika temuannya hanya satu kesamaannya mungkin bisa mudah ditampik, “Kalau dua hal yang pasti membuatku mengangkat alis. Tapi, tiga (hal yang sama) lebih dari sekadar kebetulan," tutur dia.
Mengaitkan serangan dunia maya secara percaya diri sangatlah sulit dan penuh dengan kemungkinan jebakan, tuturnya.
Ketika peretas Rusia mengganggu upacara pembukaan Olimpiade 2018, misalnya, mereka sengaja meniru kelompok Korea Utara untuk mengelak dari penyelidikan identitas.
Raiu mengatakan petunjuk digital yang ditemukan oleh timnya tidak secara langsung melibatkan Turla dalam peretasan SolarWinds, tetapi menunjukkan ada hubungan yang belum ditentukan antara kedua alat peretasan tersebut.
Mungkin saja mereka disebarkan oleh kelompok yang sama, katanya, tetapi juga Kazuar menginspirasi peretas SolarWinds—kedua alat itu dibeli dari pengembang spyware yang sama, atau bahkan penyerang menanam "bendera palsu" untuk menyesatkan penyelidik.
Tim keamanan di Amerika Serikat dan negara lain masih bekerja untuk menentukan cakupan penuh peretasan SolarWinds. Penyelidik mengatakan butuh berbulan-bulan untuk memahami sejauh mana peretasan, bahkan lebih lama lagi untuk mengusir peretas dari jaringan korban.[]
Share:
